ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG MÁY TÍNH & TRUYỀN THÔNG BÁO CÁO THỰC TẬP TÌM HIỂU VỀ QUY TRÌNH ĐIỀU TRA CHỨNG CỨ TỘI PHẠM MẠNG VỚI OSSEC VÀ SPLUNK Nơi thực tập: CÔNG TY CÔNG NGHỆ BẢO TÍN Thực tập sinh: Nguyễn Hoàng Khánh MSSV: 13520393 Lớp: ANTN2013 TP HỒ CHÍ MINH – 09/2016 BÁO CÁO THỰC TẬP 2016 LỜI MỞ ĐẦU Với phát triển đáng kể Internet nay, công mạng không ngừng gia tăng gây thiệt hại đáng kể cho người sử dụng Những kỹ thuật công ngày đa dạng đặt thách thức cho việc đảm bảo an toàn thông tin điều tra truy tìm dấu vết kẻ công Để thực hiệu việc điều tra truy tìm dấu kẻ xấu cần có hiểu biết định kỹ thuật công dấu vết để lại chúng, đồng thời cần đến hỗ trợ từ công cụ kỹ thuật thích hợp Với giúp đỡ anh chị công ty công nghệ Bảo Tín, em thực báo cáo Nhằm ghi nhận lại học tập nghiên cứu từ phía công ty thực tập, mong muốn giới thiệu công ty đến với nhà trường, lý báo cáo thực tập Dưới nội dung báo cáo này: Phần 1: Giới thiệu công ty thực tập Phần 2: Nội dung thực tập Phần 3: Kết luận NGUYỄN HOÀNG KHÁNH BÁO CÁO THỰC TẬP 2016 LỜI CẢM ƠN Trước hết, xin trân trọng gửi lời cảm ơn đến công ty công nghệ Bảo Tín tạo điều kiện cho em có hội thực tập công ty Sau thời gian ngắn công ty công nghệ Bảo Tín Được giúp đỡ tận tình anh công ty, em tìm hiểu vànghiên cứu số vấn đề liên quan tới chuyên đề nghiên cứu, mở rộng kiến thức, thử nghiệm xem kết thực tế qua lần thực nghiệm kĩ thuật công phổ biến Cùng với việc tiếp xúc với môi trường làm việc chuyên nghiệp, thân thiện người công ty giúp em hoàn thành báo cáo Xin gửi lời cảm ơn đến anh chị công ty Bảo Tín tận tình bảo hướng dẫn em suốt thời gian qua Em xin cảm ơn thầy cô khoa Mạng Máy Tính & Truyền thông nhiệt tình hỗ trợ tạo điều kiện tốt cho em hoàn thành tốt báo cáo Trong trình thực tập trình làm báo cáo khó tránh khỏi sai sót, mong quí thầy cô bỏ qua Em mong nhận nhiều ý kiến đóng góp từ thầy cô để có thêm nhiều kinh nghiệm hoàn thành tốt báo cáo tới Em xin chân thành cảm ơn! TP Hồ Chí Minh, ngày tháng năm 2016 Sinh viên thực tập Nguyễn Hoàng Khánh NGUYỄN HOÀNG KHÁNH BÁO CÁO THỰC TẬP 2016 NHẬN XÉT CỦA KHOA NGUYỄN HOÀNG KHÁNH BÁO CÁO THỰC TẬP 2016 Nội dung NGUYỄN HOÀNG KHÁNH BÁO CÁO THỰC TẬP 2016 GIỚI THIỆU VỀ CÔNG TY THỰC TẬP Giới thiệu: Công ty công nghệ Bảo Tín(BTIT-Bảo Tín Information Security) thành lập năm 2015, công ty startup hoạt động lĩnh vực An toàn thông tin BTIS tập hợp đội ngũ chuyên viên tốt nghiệp từ trường Đại học uy tín nước Cùng với kinh nghiệm làm việc, nghiên cứu lĩnh vực bảo mật, triển khai hệ thống kết hợp với sức trẻ đội ngũ nhân viên, BTIS hướng đến cung cấp cho khách hàng dịch vụ an toàn thông tin đáp ứng nhu cầu khác từ thị trường Các lĩnh vực hoạt động: An toàn thông tin Tư vấn giải pháp Đào tạo bồi dường nhân lực Nghiên cứu, phát triển công nghệ sản phẩm Các dịch vụ: An toàn thông tin: Đánh giá bảo mật ứng dụng web Đánh giá bảo mật di động Đánh giá bảo mật hệ thống Kiểm định an toàn hệ thống Tư vấn triển khai: Tư vấn an toàn thông tin Triển khai hệ thống ISO 27001 PCI DSS Cơ cấu tổ chức: NGUYỄN HOÀNG KHÁNH BÁO CÁO THỰC TẬP 2016 Giám đốc điều hành: Khổng Văn Cường Địa liên hệ: Công ty công nghệ BẢO TÍN Số 5A Trần Văn Dư, Phường 11, Quận Tân Bình, TP Hồ Chí Minh NGUYỄN HOÀNG KHÁNH BÁO CÁO THỰC TẬP 2016 NỘI DUNG THỰC TẬP Công ty Công nghệ Bảo Tín công ty chuyên an toàn thông tin, giải pháp triển khai công nghệ Do nhằm bắt kịp với xu hướng công nghệ thông tin không ngừng phát triển, đòi hỏi phải tìm hiểu, nghiên cứu điều công nghệ mới, phương pháp công phòng thủ hệ thống Do mà việc phải nắm bắt kiến thức quan trọng cốt yếu Nhằm tạo điều kiện cho sinh viên tiếp cận với phong cách làm việc, kiến thức cần nắm bước vào môi trường thực tế lĩnh vực công nghệ thông tin cách tốt Nên thời gian thực tập, em phân công số nội dung sau: Tổng quan Digital Forensic Tìm hiểu triển khai OSSEC kết hợp với Splunk Nghiên cứu chế giải mã kiện qui tắc duyệt kiện OSSEC Ứng dụng OSSEC Splunk để truy dấu kẻ công thông qua file log Tìm hiểu cách kiểm tra tính toàn vẹn hệ thống với OSSEC Quá trình thực tập diễn thời gian tuần, từ ngày 4/7/2016 4/9/2016 2.1 Giới thiệu điều tra số ứng dụng thực tế Điều tra số nhánh ngành điều tra bao gồm việc phục hồi điều tra liệu tìm thấy thiết bị điện thường, thường có liên quan đến tội phạm mạng Khái niệm điều tra số bắt nguồn từ điều tra máy tính mở rộng để bao gồm việc điều tra tất thiết bị có khả chứa liệu số Điều tra số có nhiều ứng dụng Thông dụng việc hỗ trợ bác bỏ lý thuyết trước tòa án dân hình Điều tra số góp mặt lĩnh vực cá nhân, ví dụ trình điều tra nội hay trình điều tra đột nhập 2.1.1 Các loại hình điều tra số Điều tra số chia thành hướng khác dựa vào mục đích hay dựa vào hệ thống thiết bị cần điều tra Ta chia chúng thành loại sau: Điều tra máy tính ( Computer Forensics ), Điều tra mạng ( Network Forensics ) Điều tra thiết bị di động ( Mobile Forensics ) NGUYỄN HOÀNG KHÁNH BÁO CÁO THỰC TẬP 2016 - Điều tra máy tính ( Computer Forensics ): Mục đích việc điều tra máy tính để giải thích trạng thái thiết bị kỹ thuật số, ví dụ hệ thống máy tính, thiết bị lưu trữ kỹ thuật số hay tài liệu số Điều tra máy tính chia nhỏ thành loại hình khác dựa tảng thiết bị đó:      Windows Forensics: Điều tra hệ thống máy tính bao gồm liệu lưu trữ máy, liệu bị xóa, hoạt động người dùng, Hệ điều hành Windows sử dụng hệ thống lưu trữ file riêng biệt FAT ( File Allocation Table ) NTFS Bên cạnh Windows hệ thống Registry chứa nhiều thông tin quan trọng người dùng Thông qua điều tra Registry, thu thập liệu quan trọng thay đổi ( chỉnh sửa, thêm bớt ) ứng dụng hệ thống mà người dùng để lại Linux Forensics: Những năm gần đây, thiết bị sử dụng tảng Linux trở nên phổ biến giới, sau Windows Microsoft OS X Apple Phần lớn công lỗ hổng xuất phát từ hệ thống Linux Các điều tra viên có lợi với tảng Linux lưu trữ lại toàn trình người dùng tương tác với nó, từ dễ tìm dấu vết từ công Tuy nhiên, kẻ xấu có khả chỉnh sửa lại hệ điều hành để che giấu liệu hay thực hoạt động kernel, khó để điều tra Mac OS X: Hệ điều hành OS X Apple đứng thứ sau Windows phổ biến, ta thấy thiết bị Apple khắp nơi Mac OS X có khác biệt định so với tảng lại hệ thống lưu trữ file HFS HFS+, việc gây số khó khăn định việc điều tra kỹ thuật số Memory Forensic: Bên cạnh khác biệt tảng thiết bị, đặc điểm loại nhớ khác gây số khó khăn việc điều tra số Bộ nhớ khả biến ( RAM ) hệ thống nhớ bị liệu nguồn lượng cung cấp cho đi, đồng nghĩa với việc liệu lưu trữ tương tác người dùng với hệ thống bị Từ đó, kỹ thuật bảo quản liệu cần phải áp dụng để đảm bảo không bị thất thoát chứng lưu liệu Disk Forensic: phương tiện lưu trữ liệu đóng vai quan trọng trình điều tra kỹ thuật số, liệu nằm thiết bị bị xóa, ẩn bị mã hóa Dựa vào việc phân tích liệu này, ta đưa kết luận người tạo thay đổi chúng - Điều tra mạng ( Network Forensics ): Điều tra mạng trình giám sát phân tích lưu lượng mạng nội mạng internet nhằm mục đích thu thập thông tin, chứng phát xâm nhập Lưu lượng mạng thường bị can thiệp mức gói tin, lưu trữ lại cho phép phân tích sau hay dùng để theo dõi theo thời gian thực Khác với lĩnh vực khác điều tra số, liệu mạng thường khả biến lưu lại, khiến cho điều tra viên phải ứng biến nhiều trường hợp NGUYỄN HOÀNG KHÁNH BÁO CÁO THỰC TẬP 2016 - Điều tra thiết bị di động ( Mobile Device Forensics ): Một nhánh điều tra số, trình khôi phục chứng hay liệu từ thiết bị di động Sự khác biệt điều tra máy tính thiết bị di động có sẵn hệ thống liên lạc ( vd GSM hay CDMA ) chế lưu trữ liệu riêng biệt Quá trình điều tra bao gồm việc thu thập liệu từ gọi, tin nhắn SMS hay email với việc khôi phục liệu bị xóa Bên cạnh đó, liệu thu từ thiết bị di động cung cấp thêm thông tin địa điểm chủ thiết bị qua liệu hệ thống GPS hay hệ thống định vị khác có sẵn điện thoại từ thông tin gọi lưu lại nhà cung cấp mạng 2.1.2 Các tảng ứng dụng việc điều tra số - The Sleuth Kit + Autopsy The Sleuth Kit ( TSK ) công cụ dạng command line dùng để phân tích sâu vào hệ thống tập tin khác Autopsy phiên có giao diện TSK TSK hỗ trợ tính lọc hash hệ thống, phân tích file system tìm keyword Ngoài ra, phiên giao diện TSK tạo case riêng biệt cho tình khác xuất báo cáo cho chúng TSK xếp theo lớp Lớp data trọng đến lưu trữ liệu ổ đĩa lớp metadata trọng tới thư mục hay inode ( dạng cấu trúc liệu lưu trữ thông tin file hệ điều hành Linux ), có lớp xử lý liệu block ( ô nhớ ổ đĩa ) Các câu lệnh liên quan tới lớp data bắt đầu chữ NGUYỄN HOÀNG KHÁNH 10 BÁO CÁO THỰC TẬP 2016 • Tên chương trình: systemd • Nội dung: Started LSB: Apache2 web server • Thời gian/ngày tháng: 10:53:01, 5/9 2.3.2 Decoding – Giải mã Sau trình tiền giải mã để trích xuất thông tin tĩnh từ kiện giải mã Mục đích trình trích xuất thông tin không tĩnh mà trình tiền giải mã không trích xuất để phục vụ cho việc so sánh với qui tắc sau Các thông tin cần lấy phần địa IP, tên người dùng thông tin tương tự nêu Để trích xuất thông tin trường không tĩnh khác xuất phát từ kiện khác nhau, OSSEC cần dùng đến giải mã có tên decoder.xml đặt folder /etc thuộc nơi cài đặt OSSEC, thường /var/ossec/etc/decoder.xml • • • • Ảnh giải mã kiện thuộc chương trình sshd nằm file decoder.xml, tùy chọn kể đến như: program_name: Thực việc giải mã với giải mã tương ứng cho kiện đến từ chương trình có tên trùng với giá trị program_name prematch: Sử dụng giải mã tương ứng giá trị prematch trùng với đoạn nội dung kiện regex: Đoạn regular expression để xác định vị trí trường offset: Đặc tính regex, after_prematch hay after_parent Có nhiệm vụ cho regex nơi bắt đầu tính toán NGUYỄN HOÀNG KHÁNH 24 BÁO CÁO THỰC TẬP 2016 • order: Thứ tự trường regex, srcip (địa nguồn), user, dstip (địa đích),… • parent: Decoder cần gọi trước decoder gọi • fts: First Time Seen – lần đầu nhìn thấy Xét ví dụ sau: Đây đoạn log xuất phát từ chương trình sshd, tương ứng với giải mã có tên “sshd” hình trên, cụ thể hơn, tương ứng với giải mã “sshd-success” thỏa mãn tùy chọn sau: • parent: sshd – xuất phát từ giải mã sshd • prematch: ^Accepted – nội dung log bắt đầu với từ “Accepted” • regex offset=”after_prematch” ^ \S+ for (\S+) from (\S+) port – trích xuất giá trị nằm ngoặc tròn () tương ứng với tên đăng nhập địa IP từ nội dung log • order: user, srcip – giá trị trích xuất từ phần regex gán theo thứ tự tên đăng thập địa IP nguồn • fts: name, user, location – lần người dùng truy cập vào tài nguyên đó, OSSEC lưu giá trị lại nhằm đưa cảnh báo Như vậy, sau qua giải mã “sshd-success”, thông tin trích xuất từ kiện nêu địa IP đăng nhập thành công vào hệ thống ssh với tên tài khoản đăng nhập Hình thể thông tin mà OSSEC trích xuất từ đoạn log sau qua giai đoạn tiền giải mã giải mã 2.3.3 Rule Matching – So sánh với qui tắc Sau trải qua giai đoạn giải mã nêu trên, OSSEC tiến hành so sánh kiện với qui tắc có sẵn để xác định xem liệu kiện có tạo cảnh báo đến người dùng hay đóng vai trò thành phần chuỗi kiện lớn Bộ qui tắc OSSEC thường nằm đường dẫn /var/ossec/rules bao gồm nhiều file dành riêng cho trường hợp khác NGUYỄN HOÀNG KHÁNH 25 BÁO CÁO THỰC TẬP 2016 Qui tắc OSSEC chia thành loại khác nhau: đơn qui tắc đa qui tắc Một qui tắc đơn dùng để đưa cảnh báo kiện không liên quan đến kiện khác Đa qui tắc sử dụng đơn qui tắc để đưa kiện Ví dụ, người dùng đăng nhập không thành công, OSSEC đưa cảnh báo kiện dựa vào đơn qui tắc, 10 kiện diễn với địa IP thời gian ngắn nguy công bruteforce, để đưa cảnh báo chuỗi kiện này, ta cần dùng tới đa qui tắc 2.4 Ứng dụng OSSEC Splunk để truy dấu kẻ công thông qua file log 2.4.1 Quét tập tin log từ Apache với OSSEC Với tập tin log thu từ Apache, sử dụng công cụ ossec-logtest OSSEC để quét xem có hoạt động bất thường không: cat /var/log/apache2/access.log | /var/ossec/bin/ossec-logtest -a NGUYỄN HOÀNG KHÁNH 26 BÁO CÁO THỰC TẬP 2016 Tùy chọn -a công cụ ossec-logtest tạo thông báo hoạt động bất thường thu file log Với thông báo này, ta xuất tập tin khác để đưa vào Splunk tiến hành phân tích: cat /var/log/apache2/access.log | /var/ossec/bin/ossec-logtest -a > logtest.txt Đồng thời, sử dụng công cụ khác OSSEC ossec-reportd để có thống kê sơ kết phân tích tập tin log: cat /var/log/apache2/access.log | /var/ossec/bin/ossec-logtest -a | /var/ossec/bin/ossecreportd NGUYỄN HOÀNG KHÁNH 27 BÁO CÁO THỰC TẬP 2016 Ossec-reportd cung cấp thông tin sơ IP có hoạt động bất thường trang web, mức độ nghiêm trọng, phân loại hoạt động bất thường rule tương ứng mà OSSEC sử dụng để sinh thông báo Các thông tin thu từ ossec-logtest ossec-reportd cung cấp nhìn sơ hoạt động thu tập tin log, từ tạo sở để tiếp tục phân tích nguyên nhân công với Splunk 2.4.2 Splunk + OSSEC Sử dụng Splunk để mở tập tin log tập tin thông báo tạo ossec-logtest Quan sát sơ kết từ ossec-reportd hình trên, ta thấy vài mục đáng ý như: NGUYỄN HOÀNG KHÁNH 28 BÁO CÁO THỰC TẬP 2016 • 31509-31510: “CMS(WordPress or Joomla) login/brute force attemp”, xuất tổng cộng 193 lần với khả công bruteforce hacker vào trang web • 31106: “A web attack returned code 200 (success)”, với khả công diễn thành công trả mã trạng thái HTTP 200 ( yêu cầu trả thành công ) • 31533: “High amount of POST requests in a small period of time (likely bot)”, lượng lớn gói tin HTTP với phương thức POST gửi đến, chứng tỏ công brute force Với suy đoán sơ trên, ta tiến hành sử dụng Splunk để tìm kiếm thêm thông tin từ tập tin thu từ ossec-logtest Kiểm tra khả cuối với số lần xuất nhất, ta thấy lượt quét trang web web crawler: NGUYỄN HOÀNG KHÁNH 29 BÁO CÁO THỰC TẬP 2016 Tiếp tục với rule 31509 31510, ta thấy chúng xuất phát từ địa IP hình: Với danh sách địa IP này, chuyển sang phân tích tập tin log thu thập từ Apache Trong danh sách giá trị URI yêu cầu nhiều từ địa IP xuất vài mục đáng ý: NGUYỄN HOÀNG KHÁNH 30 BÁO CÁO THỰC TẬP 2016 • /wp-login.php: Trang login wordpress, yêu cầu nhiều chứng tỏ nguy công brute force • /wp-admin/, /wp-admin/options-permalink.php, /wp-admin/admin-ajax.php: Khả hacker chiếm thành công quyền admin bắt đầu chỉnh sửa thông tin trang web Như suy hacker truy cập thành công vào website cách brute force password từ trang /wp-login.php Dưới danh sách địa IP yêu cầu trang nhiều nhất: NGUYỄN HOÀNG KHÁNH 31 BÁO CÁO THỰC TẬP 2016 Việc đăng nhập thành công vào trang quản lý WordPress đồng nghĩa với HTTP request với phương thức POST tới URI /wp-login.php trả với mã trạng thái 302 ( chuyển hướng ) tới trang /wp-admin.php Dựa vào sở này, tiếp tục liệt kê địa IP thỏa điều kiện Có thể thấy có địa IP đăng nhập thành công vào wp-admin.php Tuy nhiên dựa vào số lượng gói tin HTTP POST gửi tới URI /wp-login.php lên đến 16 lần trả gói tin chuyển hướng 302 Ta suy hacker với IP 81.214.45.201 ( xuất phát từ Thổ Nhĩ Kỳ ) thành công việc công brute force vào trang web 2.4.3 Quá trình công hacker Dựa vào suy luận trên, ta tiến hành xem xét trình công hacker: Đầu tiên, vào lúc 12:22:08 ngày 06/08/2016, hacker với địa IP 81.214.45.201 gửi gói HTTP GET để yêu cầu trang đăng nhập website NGUYỄN HOÀNG KHÁNH 32 BÁO CÁO THỰC TẬP 2016 Sau loạt gói tin HTTP POST gửi đến trang đăng nhập trang web kéo dài từ 12:22:11 ngày 06/08/2016 đến 12:22:39 ngày 06/08/2016, kết thúc gói tin với mã trạng thái HTTP 302 (chuyển hướng) chứng tỏ việc đăng nhập thành công vào lúc 12:22:47 ngày 06/08/2016 … NGUYỄN HOÀNG KHÁNH 33 BÁO CÁO THỰC TẬP 2016 Một loạt HTTP request với phương thức GET gửi tới trang web khoảng thời gian ngắn, xuất phát từ đoạn script chuẩn bị sẵn để lấy toàn nội dung trang Trong trình lấy toàn nội dung trang web, hacker chuyển sang chỉnh sửa trang 404.php web Và cài vào theme NGUYỄN HOÀNG KHÁNH 34 BÁO CÁO THỰC TẬP 2016 Sau đó, hacker tiến hành tắt Wordfence, plugin tường lửa chống lại công XSS quét mã độc, shell cho trang web WordPress Hacker sau tắt Wordfence upload thành công shell có tên K2LL33D.jpg.php 2.5.1 2.5 Tìm hiểu cách kiểm tra tính toàn vẹn hệ thống với OSSEC Cơ tiến trình syscheck OSSEC Syscheck tên tiến trình OSSEC Nó gọi sau khoản thời gian định làm nhiệm vụ kiểm tra xem có file cấu hình hay mục registry Windows bị thay đổi hay không, có xuất báo cáo thay đổi Cơ chế hoạt động syscheck đơn giản, OSSEC vừa cài đặt vào hệ thống, dò tìm lưu lại checksum tất file nằm folder quan trọng ( định sẵn file cấu hình OSSEC ) Từ đó, lần syscheck hoạt động, kiểm tra checksum file hệ thống so sánh với checksum ban đầu chúng, checksum bị thay đổi, syscheck báo cáo thay đổi này, xuất file mới, xuất báo cáo 2.5.2 Vì kiểm tra tính toàn vẹn? Có nhiều kiểu công nhiều hướng công khác nhau, đa số chúng mang điểm chung: để lại dấu vết luôn thay đổi hệ thống theo cách Có thể đưa vài ví dụ: virus thay đổi nội dung số file định, rootkit thay đổi kernel hệ điều hành hay số kiểu công SQL Injection tạo sở liệu tạm lưu giá trị cần thiết vào Như vậy, cần phát thay đổi file hệ thống, phát nguy công từ ngăn chặn kịp thời 2.5.3 Cấu hình OSSEC kiểm tra tính toàn vẹn Cấu trúc phần syscheck file cấu hình OSSEC có nội dung tương tự này: NGUYỄN HOÀNG KHÁNH 35 BÁO CÁO THỰC TẬP 2016 Với giá trị frequency mặc định 79200 giây, tức sau 22 tiếng tiến hành kiểm tra tính toàn vẹn lần Tiếp theo, đường dẫn kiểm tra bao gồm /etc, /usr/bin/, vv, tất đường dẫn quan trọng hệ điều hành Linux Cuối đường dẫn không cần kiểm tra, syscheck bỏ qua file thuộc đường dẫn trình thực thi Để phát kịp thời có thay đổi file hệ thống đó, hay xuất file folder hệ thống, cần phải cấu hình OSSEC để thông báo thời gian thực Mở file cấu hình OSSEC đường dẫn /var/ossec/etc/ossec.conf thêm vào dòng sau dòng tùy chỉnh giá trị frequency phần syscheck: yes Tiếp theo, cấu hình báo cáo thời gian thực nội dung thay đổi file: /etc,/usr/bin,/usr/sbin /bin,/sbin Sau hoàn thành việc cấu hình, phần syscheck file ossec.conf có nội dung tương tự sau: NGUYỄN HOÀNG KHÁNH 36 BÁO CÁO THỰC TẬP 2016 Khởi động lại OSSEC với câu lệnh sau: /var/ossec/bin/ossec-control restart Sau OSSEC khởi động lại, trình chuẩn bị liệu cho tiến trình syscheck diễn khoảng 15-20 phút tùy theo cấu hình máy Trong log OSSEC thông báo trình chuẩn bị sau: Và sau OSSEC chuẩn bị xong bắt đầu giám sát file theo thời gian thực, thông báo log: Thử chỉnh sửa số file đường dẫn giám sát OSSEC: NGUYỄN HOÀNG KHÁNH 37 BÁO CÁO THỰC TẬP 2016 Ở đây, thấy file cấu hình module PAM folder etc bị thay đổi OSSEC đưa checksum md5 sha1 trước sau thay đổi file kèm với nội dung đưa vào 2.6 Tham khảo [1] OSSEC, http://ossec.github.io/ [2] Nicolas Zin, Savoir-faire Linux, OSSEC How To – The Quick and Dirty Way, Online, https://blog.savoirfairelinux.com/wp-content/uploads/2014/03/SFL-ED01OSSec-the-quick-and-dirty-way-140326-01.pdf [3] Dan Parriott, OSSEC Decoder 101, http://ddpbsd.blogspot.com/2010/10/ossecdecoders-101.html [4] Dan Parriott, OSSEC Rule 101, http://ddpbsd.blogspot.com/2010/10/ossec-rules101.html [5] HackerTarget, Defending WordPress with OSSEC, https://hackertarget.com/defending-wordpress-ossec/ [6] Perezbox, OSSEC – Detecting new files – Understanding how it works, https://perezbox.com/2013/07/ossec-detecting-new-files-understanding-how-it-works/ [7] KẾT LUẬN Trải qua trình thực tập khoảng tháng công ty Bảo Tín, với hỗ trợ nhiệt tình từ phía anh chị công ty bạn đồng thực tập, em học nhiều kinh nghiệm, kỹ chuyên môn lẫn ứng xử Em tin kỹ học giúp ích cho đồ án chuyên ngành khóa luận tốt nghiệp tới, đồng thời hành trang quí báu cho tương lai tới Một lần em xin gửi lời cảm ơn tới anh/chị phía công ty Bảo Tín hỗ trợ cho em, thầy cô tạo hội cho em có trải nghiệm NGUYỄN HOÀNG KHÁNH 38 ... nghệ Bảo Tín, em thực báo cáo Nhằm ghi nhận lại học tập nghiên cứu từ phía công ty thực tập, mong muốn giới thiệu công ty đến với nhà trường, lý báo cáo thực tập Dưới nội dung báo cáo này: Phần... BÁO CÁO THỰC TẬP 2016 - bin: Chứa tất file thực thi để quản lý OSSEC agent - etc: Chứa file cấu hình OSSEC, quan trọng ossec. conf file cấu hình OSSEC - logs: Các file log ossec. log - output OSSEC, ... cảnh báo hay cho phép host/ip hoạt động  Collector NGUYỄN HOÀNG KHÁNH 15 BÁO CÁO THỰC TẬP 2016 Là file OSSEC sử dụng để giám sát đưa công báo  Syscheck: NGUYỄN HOÀNG KHÁNH 16 BÁO CÁO THỰC TẬP