驭龙HIDS安装及测试

一款由 YSRC 开源的主机***检测系统

0x00、安装前准备工作

1、服务端：192.168.89.180（4GB内存,需要安装mongodb,elasticsearch,下载驭龙的编译好的包上传/home并运行web，然后初始化，最后运行server端，然后查看所有端口号是否开启：9200，9300，80，443，27017，33433） （建议：为服务端配置好yum源，安装好wget、unzip、如果系统时间不对在安装上ntpdate）

2、客户端192.168.89.185

配置好服务端之后，客户端只需要按照agent安装过程进行安装即可。

0x01、部署mongodb

1、安装mongodb并启动

#mkdir /var/lib/mongodb/ && mkdir /var/log/mongodb && wget https://sec.ly.com/mirror/mongodb-linux-x86_64-3.6.3.tgz && tar -xvzf mongodb-linux-x86_64-3.6.3.tgz && mongodb-linux-x86_64-3.6.3/bin/mongod --dbpath /var/lib/mongodb/ --logpath /var/log/mongodb.log --fork --bind_ip 192.168.89.180

# yum install -y mongodb-org

查看一下端口号27017是否开启

#ss –antpl

0x02、部署es

安装jre:

#wget https://sec.ly.com/mirror/jre-8u161-linux-x64.rpm && yum -y localinstall jre-8u161-linux-x64.rpm

由于在Linux系统中用wget下载es安装包速度慢，所以建议单独下载之后上传此文件到/home目录中

#cd /home

#tar xf elasticsearch-5.6.8.tar.gz -C /opt

或者官方下载安装

#wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.6.8.tar.gz && tar -zxvf elasticsearch-5.6.8.tar.gz -C /opt

Elasticsearch 不建议以 root 权限运行，新建一个非 root 权限用户，-p 后跟自行设定的密码

#groupadd elasticsearch && useradd elasticsearch -g elasticsearch -p 123qwe..

修改文件夹及内部文件的所属用户及组为 elasticsearch:elasticsearch

#chown -R elasticsearch:elasticsearch /opt/elasticsearch-5.6.8

centos7 以下的系统请一定编辑 /opt/elasticsearch-5.6.8/config/elasticsearch.yml：

network.host: 192.168.89.180

discovery.type: single-node

bootstrap.system_call_filter: false

启动服务

#su - elasticsearch -c '/opt/elasticsearch-5.6.8/bin/elasticsearch -d'

检查一下9200，9300端口是否启动，内存小的话可以多等一下（2GB内存的启动2分钟左右  4GB的1分钟左右）

ss -antpl

curl请求下确认ES启动成功

curl -XGET -s "http://localhost:9200/_cluster/health?pretty"

curl -XGET -s "http://127.0.0.1:9200/_cluster/health?pretty"

curl -XGET -s "http://192.168.89.180:9200/_cluster/health?pretty"

0x03、将驭龙编译好的包上传到/home中，并解压到/home/yulong-hids中

#chmod 755 server web/web

#vi /root/yulong-hids/web/conf/app.conf

修改登陆web管理界面的密码。密码自己设置为MD5的加密信息

md5(123qwe..,32) = 6c2084f62b844a511cb9e72597e4ffe4

设置完密码后继续修改配置文件

是否开启二次验证，这里二次验证需要Google的APP配置使用。主要是对敏感操作进行权限管理

因为测试阶段，所以没有开启二次验证

修改mongodb的地址和es的地址为安装地址

启动web:

cd web/

./web

或者后台启动：

nohup ./web &

ss –antpl

查看80 443端口是否开启

0x04、Web安装向导指南

step.1

在安装完成后，访问安装服务器的地址，使用https协议

点击初始化，初始化数据库。

step.2

初始化规则, 规则可以自己编写，也可以使用默认规则，默认规则可在 release 包内的 rules.json 找到，也可以复制 rules.json里的内容。

以下颜色的地方开始复制：

step.3

第三步上传文件包，文件包内包含着 agent, daemon, data 三个文件， 可从 release 里面找到对应的压缩包上传。最好三个系统版本全部上传，不然后续无法增加新的系统版本。

该压缩包可以在对应的系统下，使用 /build/build.py 生成。

step.4

请注意查看编辑框内的提示信息，填写相应内容。

点击生成“生成证书”按钮，如果 web 是运行在linux下的话，应该可以直接生成证书，如果不是linux的话，可下载私钥文件并使用提示命令生成证书，再将证书内容放置于编辑框内。

0x05、启动server

./server -db 192.168.89.180:27017 -es 192.168.89.180:9200

后台启动 nohup ./server -db 192.168.89.180:27017 -es 192.168.89.180:9200 &

ss –antpl

查看一下33433端口是否开启

0x06、agent安装

# 在主机列表添加处可查看自动生成的安装命令（linux需要安装libpcap ；Windows需要安装winpcap）

# 例 web 地址为为http://192.168.89.180，netloc 后跟的ip即为 web 的ip

安装命令汇总：

linux-64 : wget -O /tmp/daemon http://192.168.89.180:80/json/download?type=daemon\&system=linux\&platform=64\&action=download;chmod +x /tmp/daemon;/tmp/daemon -install -netloc 192.168.89.180

windows-64 : cd %SystemDrive% & certutil -urlcache -split -f http://192.168.89.180:80/json/download?type=daemon^&system=windows^&platform=64^&action=download daemon.exe & daemon.exe -install -netloc 192.168.89.180

windows-32 : cd %SystemDrive% & certutil -urlcache -split -f http://192.168.89.180:80/json/download?type=daemon^&system=windows^&platform=32^&action=download daemon.exe & daemon.exe -install -netloc 192.168.89.180

windows-32-powershell : [System.Net.ServicePointManager]::ServerCertificateValidationCallback={$true};(New-Object System.Net.WebClient).DownloadFile("https://192.168.89.180/json/download?type=daemon&system=windows&platform=32&action=download", "C:\daemon.exe");C:\daemon.exe -install -netloc 192.168.89.180;

windows-64-powershell : [System.Net.ServicePointManager]::ServerCertificateValidationCallback={$true};(New-Object System.Net.WebClient).DownloadFile("https://192.168.89.180/json/download?type=daemon&system=windows&platform=64&action=download", "C:\daemon.exe");C:\daemon.exe -install -netloc 192.168.89.180;

客户端已经上线 :

测试webshell执行系统命令，可以成功检测到

测试反弹meterpreter/reverse_tcp,系统也成功检测到×××