GrayLog配置SSH暴力破解攻擊日誌告警並推送到釘釘機器人

2022-01-02 WalkingCloud

點擊上方"walkingcloud"關注,並選擇"星標"公眾號

GrayLog配置SSH暴力破解攻擊日誌告警並推送到釘釘機器人

接上一篇文章,【實踐】GrayLog4.2使用webhook成功推送日誌告警到釘釘群機器人,在前面的基礎上進行優化和功能探索

1、webhook啟動設置優化

由於webhook默認埠為9000,與GrayLog Web埠衝突,所以建議使用其它埠

firewall-cmd --add-port=8080/tcp --permanent --zone=public 
firewall-cmd --reload
mkdir /var/lib/webhook
(圖片可點擊放大查看)
設置webhook服務開機自啟動
vi /usr/lib/systemd/system/webhook.service 
[Unit]
Description=Webhook service
After=network.target

[Service]
Type=simple
User=root
Group=root
LimitNOFILE=1024

Restart=on-failure
RestartSec=10
startLimitIntervalSec=60

WorkingDirectory=/var/lib/webhook
ExecStart=/opt/webhook -hooks /opt/hooks.json -port 8080 -verbose

# make sure log directory exists and owned by syslog
StandardOutput=syslog
StandardError=syslog
SyslogIdentifier=webhookd

[Install]
WantedBy=multi-user.target
(圖片可點擊放大查看)
systemctl enable webhook.service 
systemctl start webhook.service
systemctl status webhook.service
(圖片可點擊放大查看)
2、配置HTTP告警類型
http://192.168.31.127:8080/hooks/push2dingtalk
(圖片可點擊放大查看)
(圖片可點擊放大查看)
3、設置GrayLog Alert告警
我使用聚合結果到達閥值的方式Aggregation of results reaches a threshold
關鍵字「failed password" ,查詢窗口為1分鐘內超過6次就產生告警
(圖片可點擊放大查看)
(圖片可點擊放大查看)
(圖片可點擊放大查看)
4、測試
比如對主機192.168.31.232進行SSH暴力破解測試
 watch -n 1 "hydra -l root -p admin@123 192.168.31.232 ssh"
(圖片可點擊放大查看)
這時理論上應該會發送釘釘機器人告警,但未收到
一度以為是配置哪裡出問題了,在這個問題上卡了很久 
最終查看graylog服務日誌
tail -f /var/log/graylog-server/server.log 

2021-12-21T20:20:32.369+08:00 ERROR [PivotAggregationSearch] Aggregation search query <streams-query-1> returned an error: Elasticsearch exception [type=illegal_argument_exception, reason=maxSize must be >= 0 and < 2147483631; got: 2147483647].
ElasticsearchException{message=Search type returned error: , errorDetails=[]}
(圖片可點擊放大查看)
根據這個報錯在官方論壇上找到答案了
https://community.graylog.org/t/elasticsearch-pivotaggregationsearch-errors-after-upgrade-to-4-1-es-7-14/21006
(圖片可點擊放大查看)
5、解決辦法:升級Elasticsearch至7.16.2版本
https://mirrors.cloud.tencent.com/elasticstack/7.x/yum/7.16.2/elasticsearch-7.16.2-x86_64.rpm

rpm -Uvh elasticsearch-7.16.2-x86_64.rpm 
systemctl daemon-reload
systemctl restart elasticsearch.service 
(圖片可點擊放大查看)
6、接下來就可以正常收到釘釘機器人告警
(圖片可點擊放大查看)
(圖片可點擊放大查看)

給小編加雞腿!😂

相關焦點

  • Grafana Alert告警
    Grafana Alert告警Grafana除了Prometheus的AlertManager可以發送報警,grafana同時也支持高級。grafana可以無縫定義告警在數據中的位置,可視化的定義閾值,並可以通過釘釘、email等平臺獲取告警通知。
  • 碼雲Gitee 的 WebHook 增加對釘釘的支持
    為了方便廣大碼雲用戶通過釘釘來獲取碼雲上的項目更新信息,日前碼雲的 WebHook 對釘釘的支持已經上線。
  • 手把手教你用Python進行SSH暴力破解
    暴力破解屬於密碼破解的一種,也是最常見的破解方法之一,通過不斷的嘗試來達到破解的目的,所以暴力破解的本質就是一種枚舉。現在也有很多流行的破解軟體,不過個人覺得裝上kail其實也就啥都有了,但是今天我們不說他們,今天主題是如何使用Python來進行SSH的暴力破解。
  • 百度聯合攜程推出人工智慧翻譯機,支持多種翻譯方式;「釘釘」宣布...
    WhatsApp推出垃圾郵件告警功能,以減少用戶轉發垃圾信息   9. 美國史丹福大學推出一種人工智慧(AI)模型,可判斷人們的政治立場   1.該產品利用百度神經網絡翻譯技術、智能語音識別技術和智能雲通訊技術,自動識別用戶語言並翻譯到目標語種;輸入方式支持實時對話翻譯、拍照翻譯、實物翻譯和菜單翻譯等,全方位滿足用戶的翻譯需求。此外,該翻譯機內置移動通信功能,目前可在80多個國家實現在線服務。
  • 螞蟻森林釘釘是什麼?螞蟻森林釘釘能量怎麼收集?
    螞蟻森林種樹一直深受小夥伴們的喜歡,小夥伴們都在努力的收集綠色能力,養成自己的大樹,最近支付寶和釘釘合作,小夥伴們螞蟻森林綁定釘釘,用釘釘辦公等都能獲得綠色能力哦。  螞蟻森林釘釘是什麼?  釘釘是由阿里出品的智能移動辦公軟體, 釘釘同時還是一款專為企業和團隊打造的團隊IM工具,通過釘釘可以在一定程度上提升企業和團隊的工作效率,團隊溝通更方便。  螞蟻森林釘釘能量怎麼收集?
  • fail2ban 防止暴力破解
    iptables以及mail等動作配置。/etc/fail2ban/fail2ban.conf    #定義了fai2ban日誌級別、日誌位置及sock文件位置。/etc/fail2ban/filter.d               #條件文件夾,內含默認文件。過濾日誌關鍵內容設置。
  • seci-log 開源日誌分析軟體發布了 - OSCHINA - 中文開源技術交流...
    驗證過程:首先配置非上班時間,這個系統已經內置,在安全配置的安全配置中。默認0點到8點,晚上20點到24點為非上班時間。然後再用ssh連接工具,比如SecureCRT登錄系統。這個時候就會有一條日誌記錄。
  • 釘釘打卡遭破解,可任意設定位置成功打卡!個人信息處極大風險中
    釘釘打卡功能正面臨破解難題。5月13日,記者在北京市東城區打開一款破解軟體,通過虛擬位置設定,順利將釘釘打卡的位置設置到1200公裡外的上海。遠程打卡幾秒鐘便實現了。作為當下職場的熱門應用,釘釘的用戶數已經超過2億,大量企業使用釘釘記錄員工的考勤情況。
  • 釘釘3.0正式發布
    釘釘是一款針對企業環境的免費移動辦公平臺,支持跨平臺溝通和辦公協同。今天,阿里巴巴旗下釘釘在杭州舉行發布會,正式推出3.0版本,作為釘釘最新的重大版本更新,釘釘3.0在統一通訊和工作商務關係基礎上,提升企業基於雲和移動網際網路的內外協同能力。
  • 最前線|釘釘寫給小學生的求饒之歌很有趣,但這是網絡暴力的又一次...
    《釘釘本釘,在線求饒》嗶哩嗶哩視頻畫面及彈幕截圖很明顯歌曲裡的「少俠」是指仍然沉浸在寒假快樂中的學生。他們中的一部分並不喜歡釘釘搭建的虛擬教室,也不希望在此刻看到老師。在 App Store 的評分系統中,釘釘一度被刷到不足 2 分。
  • 釘釘培訓PPT和釘釘管理員培訓PPT
    步驟3 打開使用手冊再進入看看更豐富有的人說這些我都看過,沒學到什麼這種資料其實在釘釘系統中的也很多,足夠可以了解和學習。但仍然很難學會,這是因為文案PPT根本沒有太大用途,所以你沒學會和理解其很正常的。培訓的PPT實際是一個沒有用的東西。為什麼會這樣說,早年釘釘的官方使用手冊是PPT版本,甚至包含了如何配置和設計審批的內容,這種PPT去百度搜索,百度文庫就能可以找到,釘釘PPT手冊更新了幾個版本徹底放棄了。
  • 釘釘是什麼軟體 釘釘有哪些功能【詳細介紹】
    刪除與會人員,盡在一手掌握  音質最佳的電話會議--採用業界最好的語音編輯碼和語音線路,確保每次通話質量  真正的免費商務電話--業界最高的免費通話時長贈送  【工作】  審批--幫企業實現移動化辦公,拋棄紙質辦公  籤到--記錄你的工作軌跡,曬出你的努力  公告--企業重要消息隨時發送,已讀未讀一目了然  日誌
  • 當雲伺服器頻繁被暴力破解時的防護措施——數據灣
    有很多小夥伴來跟小灣講,雲伺服器經常被人暴力破解登錄,導致IP 被凍結;為了防止雲伺服器被暴力破解,小灣給大家介紹一些簡單的防護措施。修改SSH登錄埠# 將#Port 22去掉#,修改為10000後的埠號,保存並退出vi /etc/ssh/sshd_conf:wq# 重啟SSH服務systemctl restart sshd.service禁用root用戶當然,修改埠有一定的作用,可以躲過一些廣撒網式攻擊,但由於有掃描埠的工具存在,ssh服務的埠經過掃描就會被發現,
  • 釘釘打卡虛擬定位趕快點讚收藏吧
    2.在 Xposed Installer App中的模塊中勾選 釘釘助手 並重啟手機。3.重啟手機之後即在: 釘釘->我的->設置->釘釘助手 進行配置。5.進入 太極 在 模塊管理 中勾選 釘釘助手 ,完成後強行停止 釘釘。6.回到桌面點擊 釘釘->我的->設置->釘釘助手 進行配置。
  • 巴東:網際網路+釘釘,沿渡民小實現無紙化辦公
    學校整合校務日誌和營養餐填報表冊,實行釘釘多人同時在線編輯填報,以節省教師時間,提高工作效率,讓老師可以節約更多的時間和精力去研究教育教學。此外,教師業務學習和例會,均實行釘釘現場實時照片籤到制度,業務學習和政治學習、各種會議均實行釘釘會議記錄,既方便記錄,也便於信息的查閱。
  • 「工具人」釘釘
    釘釘的靈魂人物陳航在接受媒體採訪時,如此回顧從來往到釘釘的轉型。 在採訪中,對於釘釘的未來,陳航說他的最終目標是讓中國4300萬中小企業都用上釘釘,個人用戶數量要達到10億級。但如今隨著陳航的離開,釘釘逐漸成為阿里雲的入口,未來想要實現這個用戶體量則是個未知數。對於釘釘而言,商業化和用戶規模或將成為最難協調的兩部分。
  • 一力降十會,談暴力破解攻擊
    引言只要有足夠的時間,理論上任何密碼都可以通過暴力破解而破解出來。正如阿基米德所說:給我足夠的時間,我能破解整個地球。★暴力破解又叫蠻力攻擊、窮舉攻擊,是一種密碼分析的方法,將密碼逐個推算直至找到真正的密碼位置。
  • OpenSSH漏洞可導致伺服器被暴力破解 研究人員公布利用方法
    OpenSSH伺服器的「鍵盤交互」認證是打開的,默認設置為允許6次認證嘗試,客戶端只允許3次,然後就會關閉與伺服器的連接。然而,這個認證機制可以在單次連接中進行多次認證嘗試。利用這個漏洞,攻擊者能夠在允許登錄時間的2分鐘內進行多次口令嘗試,也就意味著成千上萬次的暴力破解。
  • 英語趣配音與釘釘達成戰略合作,智能教學產品入駐釘釘
    近日,英語趣配音宣布與釘釘正式籤署合作協議,促成雙方的戰略合作夥伴關係,英語趣配音自主研發的智能在線口語練習產品正式入駐釘釘。本次英語趣配音與釘釘的戰略合作,將在英語趣配音原有的APP內部打卡之外突破創新,是英語趣配音與釘釘平臺深度結合的重要實踐。老師可以在釘釘班級群打卡模板頁面中選擇英語趣配音作為打卡任務。
  • 40部釘釘卡誕生帶來的啟示
    銀座集團臨朐華興商場有限公司屬山東臨朐聯通分公司集團客戶。杜全民在走訪中,與該公司負責人閒聊中了解到由於連鎖店點多面廣,且較為分散,對各連鎖店設有的店長及中層人員,不方便管理。杜全民決定向該公司負責人推薦釘釘平臺的應用,在公司管理和辦公中嵌入釘釘卡的應用。他對這位負責人近年來對超市事業的發展壯大進行了讚揚,隨後表示該公司遇到的管理難題有聯通業務能破解。看負責人有興趣,杜全民對聯通新推出的釘釘卡的管理功能及應用進行了現場演示。