1. 主动响应 主动响应：执行各种对策来解决威胁，下面是一些执行对策的脚本(/var/ossec/active-response/bin目录下)。 1.1 执行策略 1.1.1 禁用用户disable-account（disable-account.c） 将用户添加到禁用列表 /usr/bin/passwd -l 用户 将用户移除禁用列表 /usr/bin/passwd -u 用户

引言 Wazuh是一个开源的、免费的企业级安全监控解决方案，专注于威胁检测、完整性监控、事件响应和合规性。它由部署在受监控系统的端点安全代理和管理服务器组成，服务器收集并分析代理收集的数据。Wazuh支持多平台，包括Windows、Linux、macOS、HP-UX、Solaris和AIX，能够跨场所、虚拟化、容器化和基于云的环境保护工作负载 。 目录 1 介绍 2 Wazuh

目录 介绍 功能列表 结构 安装部署 要求 容器存储器

目录 1、检查后门 使用工具检测后门 1.chkrootkit 2.rkhunter 手动检查文件 检查ld.so.preload文件 2、检测LD_PRELOAD ubuntu配置 wazuh配置 3、检测SQL注入 ubuntu配置 攻击模拟 4、主动响应 wauzh的安装以及设置代理可以参考本篇：WAZUH的安装、设置代理-CSDN博客 前面我们也

wazuh安装 wazu的安装分为以下两种方式 官方文档：https://wazuh.com/blog/detecting-common-linux-persistence-techniques-with-wazuh/ 1、自定义安装 这种方式就是一步一步的安装 直接参考官方文档： 这里就不详细介绍了，本次主要介绍的是利用wazu防御sql注入和LD_REPLACE  2、直接下

文章目录 wazuh简介wazuh在线文档及下载资源虚拟机默认用户是： 访问页面登录，默认是用户：`admin`，密码：`admin`进入系统后页面点击代理总数选择需要添加的主机需要检测的主机测试是否ping通wazuh服务机测试访问通后，添加新代理添加分组-自动生成下面3的指令 需要检测的主机执行上面生成的指令粘贴到powershell命令窗口中执行完，最后需要检测的主机启动服务执行指令检

0x00 介绍 1.背景介绍 传统的入侵检测，主要分为网络入侵检测系统和主机入侵检测系统，分别作用于网络层面和主机（服务器、办公电脑等终端）。 随着技术发展，出现了结合传统入侵检测系统和新技术（如数据分析、威胁情报、自动化操作、主动响应等）的新产品，这类新产品可能的名称是XDR、EDR、EPP等。 2.用途介绍 Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统，用于主机端点和