Wazuh 是一套常見的安全管理系統,集成SIEM及EDR等功能,其默認的API管理端口在55000,初始化憑證是wazuh:wazuh
具體API使用文檔在
在例行檢查wazuh服務狀態時發現,pid 3596 3598 建立反彈shell,(此截圖IP34.131.242.33 為後續自己測試服務器IP,原本惡意攻擊者IP為103.137.110.194)
systemctl status wazuh-manager.service 
查看ossec.conf配置文件command最後部分被植入惡意反彈代碼
cat /var/ossec/etc/ossec.conf |grep '<command>.*</command>' | sed 's/<command>/\n<command>/g' | tail -n 4
查看wazuh api日誌發現 10/18 被惡意IP 103.137.110.194使用默認憑據登入並且更改配置文件
官方文檔PUT更新配置
於是寫了一個nuclei檢測模板
コメント