十年网站开发经验 + 多家企业客户 + 靠谱的建站团队
量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决
我们在日志分析软件七种告警(非上班时间访问,非上班地点访问,密码猜测,账号猜测,账号猜测成功、敏感文件操作告警和高危命令操作)的基础上有增加了主机扫描,端口扫描,非法外联告警的内容。
创新互联公司是一家专注于成都网站建设、成都网站设计与策划设计,新野网站建设哪家好?创新互联公司做网站,专注于网站建设10年,网设计领域的专业建站公司;建站业务涵盖:新野等地区。新野做网站价格咨询:18982081108主机扫描是指在一台机器上对内网或者外网一个网段进行扫描,目的是要发现网络中存活的主机,为下一步的操作打下基础。这条告警和下面的端口扫描和非法外联都属于网络层面的告警,前提也是需要配置日志策略。在linux系统中大部分都内置了iptabe防火墙,可以利用iptable防火墙的日志功能进行采集日志,然后进行分析这些告警。下面介绍一下日志配置:
1、在linux下执行一下命令,可以是iptables的日志从syslog发送:
iptables-AOUTPUT-ptcp-jLOG--log-prefix"seci-iptables"--log-level4
iptables-AOUTPUT-pudp-jLOG--log-prefix"seci-iptables"--log-level4
2、配置syslog发送策略:
kern.warning@IP地址
需要注意的是*.info;mail.none;authpriv.none;cron.none;kern.none中要加上kern.none,不然就会重复发送,当然可以不要第一条,直接在info中发送也是可以的。
3、从起syslog服务:
servicersyslogrestart
4、安装nmap,下面以centos为例:
yuminstallnmap
经过以上配置就可以配置好防护墙日志发送策略。
验证过程,首先要进行配置,合法端口。详见下图:
执行nmap命令:nmap-sP192.168.21.1-20,扫描20台主机。
查看告警:
然后查看告警详情:
可以发现,nmap在主机发现的扫描中,主要探测了443和80端口,这个时候告警会产生两条主机扫描的告警。
端口扫描是指在一台机器上对内网或者外网的另一台机器进行端口扫描,目的是要发现网络中主机开放的端口信息,为下一步的操作打下基础。这条告警也属于网络层面的告警,前提也是需要配置日志策略。详细的配置信息详见主机扫描。
验证过程:执行nmap命令:nmap-p20-80192.168.21.1地址,扫描61个端口。
查看告警:
查看详情:
可以看出扫描了此机器的端口多个不同端口的信息。
非法外联是指在一台机器上不该有的其他连接信息,比如服务器,正常情况下可能只开放了80,22端口,而且一般服务器是被动接收的日志,当发现日志中有主动发起的连接而且不是规定的端口,很有可能是中了***,这个时候要特别关注。这条告警也属于网络层面的告警,前提也是需要配置日志策略。详细的配置信息详见主机扫描。
验证过程,首先要进行配置,合法端口。详见下图:
表示本机22和514端口是合法的端口其他端口都是非法端口,执行上面主机扫描或者端口扫描的nmap命令,即可产生非法外联告警。
查看详情:
从中可以看出有非法外联行为,里面的日志有的是和主机扫描或者端口扫描重复。
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。