驭龙HIDS安装及测试

发布时间:2020-04-07 21:54:38 作者:Tar0
来源:网络 阅读:22621

一款由 YSRC 开源的主机***检测系统

项目地址https://github.com/ysrc/yulong-hids

0x00、安装前准备工作

1、服务端:192.168.89.180(4GB内存,需要安装mongodb,elasticsearch,下载驭龙的编译好的包上传/home并运行web,然后初始化,最后运行server端,然后查看所有端口号是否开启:9200,9300,80,443,27017,33433) (建议:为服务端配置好yum源,安装好wget、unzip、如果系统时间不对在安装上ntpdate)

驭龙HIDS安装及测试


2、客户端192.168.89.185

配置好服务端之后,客户端只需要按照agent安装过程进行安装即可。

 

0x01、部署mongodb

1、安装mongodb并启动

#mkdir /var/lib/mongodb/ && mkdir /var/log/mongodb && wget https://sec.ly.com/mirror/mongodb-linux-x86_64-3.6.3.tgz && tar -xvzf mongodb-linux-x86_64-3.6.3.tgz && mongodb-linux-x86_64-3.6.3/bin/mongod --dbpath /var/lib/mongodb/ --logpath /var/log/mongodb.log --fork --bind_ip 192.168.89.180

# yum install -y mongodb-org

查看一下端口号27017是否开启

#ss –antpl

驭龙HIDS安装及测试


0x02、部署es

安装jre:

#wget https://sec.ly.com/mirror/jre-8u161-linux-x64.rpm && yum -y localinstall jre-8u161-linux-x64.rpm

由于在Linux系统中用wget下载es安装包速度慢,所以建议单独下载之后上传此文件到/home目录中

#cd /home

#tar xf elasticsearch-5.6.8.tar.gz -C /opt

或者官方下载安装

#wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.6.8.tar.gz && tar -zxvf elasticsearch-5.6.8.tar.gz -C /opt

Elasticsearch 不建议以 root 权限运行,新建一个非 root 权限用户,-p 后跟自行设定的密码

#groupadd elasticsearch && useradd elasticsearch -g elasticsearch -p 123qwe..

修改文件夹及内部文件的所属用户及组为 elasticsearch:elasticsearch

#chown -R elasticsearch:elasticsearch /opt/elasticsearch-5.6.8

centos7 以下的系统请一定编辑 /opt/elasticsearch-5.6.8/config/elasticsearch.yml:

network.host: 192.168.89.180

discovery.type: single-node

bootstrap.system_call_filter: false

启动服务

#su - elasticsearch -c '/opt/elasticsearch-5.6.8/bin/elasticsearch -d'

检查一下9200,9300端口是否启动,内存小的话可以多等一下(2GB内存的启动2分钟左右  4GB的1分钟左右)

ss -antpl

驭龙HIDS安装及测试


curl请求下确认ES启动成功

curl -XGET -s "http://localhost:9200/_cluster/health?pretty"

curl -XGET -s "http://127.0.0.1:9200/_cluster/health?pretty"

curl -XGET -s "http://192.168.89.180:9200/_cluster/health?pretty"

驭龙HIDS安装及测试



0x03、将驭龙编译好的包上传到/home中,并解压到/home/yulong-hids中

驭龙HIDS安装及测试

#chmod 755 server web/web


#vi /root/yulong-hids/web/conf/app.conf

修改登陆web管理界面的密码。密码自己设置为MD5的加密信息

驭龙HIDS安装及测试


md5(123qwe..,32) = 6c2084f62b844a511cb9e72597e4ffe4

设置完密码后继续修改配置文件

是否开启二次验证,这里二次验证需要Google的APP配置使用。主要是对敏感操作进行权限管理

因为测试阶段,所以没有开启二次验证

修改mongodb的地址和es的地址为安装地址

驭龙HIDS安装及测试


启动web:

cd web/

./web

或者后台启动:

nohup ./web &

ss –antpl

查看80 443端口是否开启

驭龙HIDS安装及测试


0x04、Web安装向导指南

step.1

在安装完成后,访问安装服务器的地址,使用https协议

驭龙HIDS安装及测试

点击初始化,初始化数据库。

step.2

初始化规则, 规则可以自己编写,也可以使用默认规则,默认规则可在 release 包内的 rules.json 找到,也可以复制 rules.json里的内容。

以下颜色的地方开始复制:

驭龙HIDS安装及测试 


step.3

驭龙HIDS安装及测试


第三步上传文件包,文件包内包含着 agent, daemon, data 三个文件, 可从 release 里面找到对应的压缩包上传。最好三个系统版本全部上传,不然后续无法增加新的系统版本。

该压缩包可以在对应的系统下,使用 /build/build.py 生成。

step.4

驭龙HIDS安装及测试


请注意查看编辑框内的提示信息,填写相应内容。

点击生成“生成证书”按钮,如果 web 是运行在linux下的话,应该可以直接生成证书,如果不是linux的话,可下载私钥文件并使用提示命令生成证书,再将证书内容放置于编辑框内。

0x05、启动server

./server -db 192.168.89.180:27017 -es 192.168.89.180:9200

后台启动 nohup ./server -db 192.168.89.180:27017 -es 192.168.89.180:9200 &

ss –antpl

查看一下33433端口是否开启

驭龙HIDS安装及测试


0x06、agent安装

# 在主机列表添加处可查看自动生成的安装命令(linux需要安装libpcap ;Windows需要安装winpcap)

# 例 web 地址为为http://192.168.89.180,netloc 后跟的ip即为 web 的ip

安装命令汇总:

linux-64 : wget -O /tmp/daemon http://192.168.89.180:80/json/download?type=daemon\&system=linux\&platform=64\&action=download;chmod +x /tmp/daemon;/tmp/daemon -install -netloc 192.168.89.180

windows-64 : cd %SystemDrive% & certutil -urlcache -split -f http://192.168.89.180:80/json/download?type=daemon^&system=windows^&platform=64^&action=download daemon.exe & daemon.exe -install -netloc 192.168.89.180

windows-32 : cd %SystemDrive% & certutil -urlcache -split -f http://192.168.89.180:80/json/download?type=daemon^&system=windows^&platform=32^&action=download daemon.exe & daemon.exe -install -netloc 192.168.89.180

windows-32-powershell : [System.Net.ServicePointManager]::ServerCertificateValidationCallback={$true};(New-Object System.Net.WebClient).DownloadFile("https://192.168.89.180/json/download?type=daemon&system=windows&platform=32&action=download", "C:\daemon.exe");C:\daemon.exe -install -netloc 192.168.89.180;

windows-64-powershell : [System.Net.ServicePointManager]::ServerCertificateValidationCallback={$true};(New-Object System.Net.WebClient).DownloadFile("https://192.168.89.180/json/download?type=daemon&system=windows&platform=64&action=download", "C:\daemon.exe");C:\daemon.exe -install -netloc 192.168.89.180;

驭龙HIDS安装及测试

 

客户端已经上线 :


驭龙HIDS安装及测试


驭龙HIDS安装及测试

 


测试webshell执行系统命令,可以成功检测到

驭龙HIDS安装及测试


测试反弹meterpreter/reverse_tcp,系统也成功检测到×××

驭龙HIDS安装及测试

 


推荐阅读:
  1. 使用OSQUERY作为HIDS检测系统异常
  2. 安装及测试DNS服务

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

驭龙 驭龙hids 开源ids

上一篇:【小松教你手游开发】【unity系统模块开发】Unity5.5.2UI打包AssetBundle

下一篇:12月技术考核:Windows系统故障排查

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》