實驗宣告:本實驗教程僅供研究學習使用,請勿用於非法用途,違者一律自行承擔所有風險!
ossec監測web頁面頻繁訪問
ossec根據http日誌,分析日誌頻率,來判斷 一段時間內,是否有大量非法請求。
三颱主機 一台ossec伺服器,已安裝完成 一台ossec客戶端,未安裝ossec,同時安裝apache作為web伺服器產生日誌。 一台web瀏覽器,檢視監測結果,同時作為web客戶端發起大量web請求。
登入ossec伺服器sudo -i輸入密碼360college,切換root使用者
生成客戶端資訊
/var/ossec/bin/manage_agents注意ip位址與實驗環境一致
匯出客戶端金鑰 注意是002,不是001
啟動伺服器/var/ossec/bin/ossec-control start
sudo -i輸入密碼360college,切換root使用者
wget -u ossec
tar -zxvf ossec-hids-*.tar.gz
cd ossec-hids-*
./install.sh注意安裝agent與輸入正確的伺服器ip
登入windows機器 ,檢視ossec的web
登入ossec-client
vim /var/www/html/test.txt 輸入任意內容,儲存退出
新增日誌讀許可權chmod +r /var/log/httpd/access_log編輯ossec配置vim /var/ossec/etc/ossec.conf
加入以下內容,注意位置
儲存退出後,重啟客戶端
/var/ossec/bin/ossec-control restart
登入 ossec伺服器操作
vim /var/ossec/rules/web_rules.xml
在最後加入
儲存退出後,重啟伺服器端服務
/var/ossec/bin/ossec-control restart
使用windows瀏覽器訪問 test.txt頁面,並不斷重新整理。根據我們規則31179配置,訪問.txt會生成級別為3的告警 根據規則31180在60秒到訪問15次(實際執行會+2,即17次),會產生級別為13的告警
目前我們已經可以針對 源ip地大量訪問進行告警。下節實驗我們繼續,聯動ips進行阻斷源ip訪問。
web監測工具
經乙個同事的介紹,發現乙個不錯的web監測工具tomcatservermonitor,該監測軟體可以在發現服務死掉以後,幫忙重新啟動服務。目前只支援tomcat,weblogic,但是可以自己擴充套件。在使用之前需要進行一些簡單的配置 解壓以後,進入conf目錄下,那咱們就乙個乙個配置的說吧 mon...
開源入侵檢測系統OSSEC搭建之三 Web介面安裝
注意 以下操作需在ossec服務端進行設定 root localhost wget root localhost unzip master.zip root localhost mv analogi master var www html analogi root localhost cd var ...
監測頁面是否切換到後台
因為我在網上參考了一下其他大神後,自己寫了乙個小demo,但是大概功能已經可以實現了。要實現這個功能主要靠兩個屬性 1.document.hidden boolean值,表示當前頁面可見還是不可見 2.document.visibilitystate 返回當前頁面的可見狀態。分為 hidden 跟 ...