iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 3
0
Elastic Stack on Cloud

一目了然的資訊保健系列 第 3

3-檢測Tomcat健康狀態-AltoroJ搭建

  • 分享至 

  • xImage
  •  

有了收資料的平台Elastic Cloud,會運用Beat收集資料,這章開始建立攻防平台實際感受一下可以獲得什麼資訊。

架構

攻擊平台使用: Kali Linux
https://www.kali.org/downloads/

被攻擊平台: Windows 上搭建 AltoroJ

監控項目

監控 tomcat Log(access log) ->Filebeat

被攻擊平台建置

在線上讓大家練習的網頁漏洞平台
http://altoromutual.com:8080/

到Github上下載下來自建平台
https://github.com/hclproducts/AltoroJ

安裝方式
https://github.com/hclproducts/AltoroJ/blob/master/Importing%20AltoroJ%20into%20Eclipse%20from%20GitHub.md

  1. Download and install
  • 安裝jdk-8u261-windows-x64
  • 安裝apache-tomcat-7.0.105
  • 安裝 eclipse-inst-win64 安裝完後選Jave EE
  1. Install Gradle Buildship
  • 開啟Eclipse IDE for Enterprise Java
  • Got to Help -> Eclipse Marketplace
  • Search for Buildship
  • Install Buildship Gradle Integration and restart Eclipse
  1. Add Tomcat Server to Eclipse
  • Open Servers view (Window -> Show View -> Other -> Servers)
  • Create a new Apache Tomcat v7.0 Server.
    https://ithelp.ithome.com.tw/upload/images/20200903/20077752QwySVxDiX7.png
  1. Pull down AltoroJ from GitHub
  1. 在Eclipse的Project Explorer中右鍵AltoroJ,Replace With -> Index
  2. Run AltoroJ
  • 在Eclipse的Project Explorer中右鍵 AltoroJ
  • Choose Run As -> Run On Server
  • 選擇Apache Tomcat v7.0 Server
    https://ithelp.ithome.com.tw/upload/images/20200903/20077752GO1i11XvAP.png
  1. Export
  • 在Eclipse的Project Explorer中右鍵 AltoroJ
  • Choose Export -> War
  1. WAR Deploy
  • 關掉eclipse的Tomcat
  • 正常開啟Tomcat連上127.0.0.1:8080 點manager app
  • WAR file to deploy

監控設定

Tomcat Log設定檔 (預設開啟不用改)
https://ithelp.ithome.com.tw/upload/images/20200903/20077752Hti8VTdom7.png

%a-遠程IP地址
%A-本地IP地址
%b-發送的字節(不包括HTTP標頭);如果未發送字節,則為'-'
%B-發送的字節,不包括HTTP標頭
%h-遠程主機名(如果enableLookups連接器為false,則為IP地址 )
%H-請求協議
%l -identd的遠程邏輯用戶名(總是返回“-”)
%m-請求方法
%p-本地端口
%q-查詢字符串(如果存在則以'?'開頭,否則為空字符串
%r-請求的第一行
%s-響應的HTTP狀態代碼
%S-用戶會話ID
%t-日期和時間,採用通用日誌格式
%u-已通過身份驗證的遠程用戶
%U-請求的URL路徑
%v-本地服務器名稱
%D-處理請求所花費的時間,以毫秒為單位
%T-處理請求所花費的時間,以秒為單位
%I-當前請求線程名稱(以後可以與堆棧跟踪進行比較)

安裝設定Filebeat

參照 https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-installation-configuration.html

與前一章metricbeat一樣安裝方式
https://ithelp.ithome.com.tw/upload/images/20200903/20077752lehx9j0Iox.png

啟用Tomcat Modules

filebeat.exe modules enable tomcat

開啟filebeat.yml修改設定

與前一章metricbeat建立方式相同

# 讀Log的位置
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - C:\Program Files\Apache Software Foundation\Tomcat 7.0\logs\localhost_access_log.*.txt
 
# 名稱
name: Lab1
 
# 建立儀表板
setup.kibana:
  host: "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
 
# elastic cloud連線
cloud.id: "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
cloud.auth: "xxxx:${CLOUD_PWD}"
回到Kibana確定有值進來後,可以點網頁幾下看回應

Lab1

簡單使用dirb對網頁做目錄掃描,可以用來查找是否有管理後台之類的

kali@kali:~$ dirb http://192.168.137.10:8080/AltoroJ/

DIRB v2.22
By The Dark Raver
START_TIME: Thu Sep 3 19:18:59 2020
URL_BASE: http://192.168.137.10:8080/AltoroJ/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt

GENERATED WORDS: 4612
---- Scanning URL: http://192.168.137.10:8080/AltoroJ/ ----
http://192.168.137.10:8080/AltoroJ/admin (CODE:302|SIZE:0)
http://192.168.137.10:8080/AltoroJ/aux (CODE:200|SIZE:0)
http://192.168.137.10:8080/AltoroJ/bank (CODE:302|SIZE:0)
http://192.168.137.10:8080/AltoroJ/com1 (CODE:200|SIZE:0)
http://192.168.137.10:8080/AltoroJ/com2 (CODE:200|SIZE:0)
http://192.168.137.10:8080/AltoroJ/com3 (CODE:200|SIZE:0)
http://192.168.137.10:8080/AltoroJ/con (CODE:200|SIZE:0)
http://192.168.137.10:8080/AltoroJ/images (CODE:302|SIZE:0)
http://192.168.137.10:8080/AltoroJ/lpt1 (CODE:200|SIZE:0)
http://192.168.137.10:8080/AltoroJ/lpt2 (CODE:200|SIZE:0)
http://192.168.137.10:8080/AltoroJ/nul (CODE:200|SIZE:0)
http://192.168.137.10:8080/AltoroJ/pr (CODE:302|SIZE:0)
http://192.168.137.10:8080/AltoroJ/prn (CODE:200|SIZE:0)
http://192.168.137.10:8080/AltoroJ/static (CODE:302|SIZE:0)

回到Kiban上會看到4千多次的404錯誤
https://ithelp.ithome.com.tw/upload/images/20200903/20077752GtijdzldNb.png

有了這些數值,就可以在監控到異常時設定規則發送訊息,或在儀表板顯示告警


上一篇
2-將數據導入Elastic Cloud
下一篇
4-檢測Tomcat健康狀態-應用程序性能管理(APM)
系列文
一目了然的資訊保健30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言