一款由 YSRC 開源的主機(jī)***檢測(cè)系統(tǒng)
項(xiàng)目地址https://github.com/ysrc/yulong-hids
0x00�、安裝前準(zhǔn)備工作
1�、服務(wù)端:192.168.89.180(4GB內(nèi)存,需要安裝MongoDB,elasticsearch,下載馭龍的編譯好的包上傳/home并運(yùn)行web���,然后初始化�����,最后運(yùn)行server端�����,然后查看所有端口號(hào)是否開啟:9200�����,9300����,80�,443�,27017,33433) (建議:為服務(wù)端配置好yum源��,安裝好wget����、unzip、如果系統(tǒng)時(shí)間不對(duì)在安裝上ntpdate)
成都創(chuàng)新互聯(lián)主營(yíng)南康網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營(yíng)網(wǎng)站建設(shè)方案,App定制開發(fā),南康h5微信小程序開發(fā)搭建,南康網(wǎng)站營(yíng)銷推廣歡迎南康等地區(qū)企業(yè)咨詢
2���、客戶端192.168.89.185
配置好服務(wù)端之后�����,客戶端只需要按照agent安裝過(guò)程進(jìn)行安裝即可���。
0x01、部署mongodb
1����、安裝mongodb并啟動(dòng)
#mkdir /var/lib/mongodb/ && mkdir /var/log/mongodb && wget https://sec.ly.com/mirror/mongodb-linux-x86_64-3.6.3.tgz && tar -xvzf mongodb-linux-x86_64-3.6.3.tgz && mongodb-linux-x86_64-3.6.3/bin/mongod --dbpath /var/lib/mongodb/ --logpath /var/log/mongodb.log --fork --bind_ip 192.168.89.180
# yum install -y mongodb-org
查看一下端口號(hào)27017是否開啟
#ss –antpl
0x02、部署es
安裝jre:
#wget https://sec.ly.com/mirror/jre-8u161-linux-x64.rpm && yum -y localinstall jre-8u161-linux-x64.rpm
由于在Linux系統(tǒng)中用wget下載es安裝包速度慢��,所以建議單獨(dú)下載之后上傳此文件到/home目錄中
#cd /home
#tar xf elasticsearch-5.6.8.tar.gz -C /opt
或者官方下載安裝
#wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.6.8.tar.gz && tar -zxvf elasticsearch-5.6.8.tar.gz -C /opt
Elasticsearch不建議以 root 權(quán)限運(yùn)行,新建一個(gè)非 root 權(quán)限用戶��,-p 后跟自行設(shè)定的密碼
#groupadd elasticsearch && useradd elasticsearch -g elasticsearch -p 123qwe..
修改文件夾及內(nèi)部文件的所屬用戶及組為 elasticsearch:elasticsearch
#chown -R elasticsearch:elasticsearch /opt/elasticsearch-5.6.8
centos7以下的系統(tǒng)請(qǐng)一定編輯 /opt/elasticsearch-5.6.8/config/elasticsearch.yml:
network.host: 192.168.89.180
discovery.type: single-node
bootstrap.system_call_filter: false
啟動(dòng)服務(wù)
#su - elasticsearch -c '/opt/elasticsearch-5.6.8/bin/elasticsearch -d'
檢查一下9200���,9300端口是否啟動(dòng)����,內(nèi)存小的話可以多等一下(2GB內(nèi)存的啟動(dòng)2分鐘左右 4GB的1分鐘左右)
ss -antpl
curl請(qǐng)求下確認(rèn)ES啟動(dòng)成功
curl -XGET -s "http://localhost:9200/_cluster/health?pretty"
curl -XGET -s "http://127.0.0.1:9200/_cluster/health?pretty"
curl -XGET -s "http://192.168.89.180:9200/_cluster/health?pretty"
0x03�、將馭龍編譯好的包上傳到/home中�����,并解壓到/home/yulong-hids中
#chmod 755 server web/web
#vi /root/yulong-hids/web/conf/app.conf
修改登陸web管理界面的密碼�����。密碼自己設(shè)置為MD5的加密信息
md5(123qwe..,32) = 6c2084f62b844a511cb9e72597e4ffe4
設(shè)置完密碼后繼續(xù)修改配置文件
是否開啟二次驗(yàn)證�����,這里二次驗(yàn)證需要Google的APP配置使用��。主要是對(duì)敏感操作進(jìn)行權(quán)限管理
因?yàn)闇y(cè)試階段���,所以沒有開啟二次驗(yàn)證
修改mongodb的地址和es的地址為安裝地址
啟動(dòng)web:
cd web/
./web
或者后臺(tái)啟動(dòng):
nohup ./web &
ss –antpl
查看80 443端口是否開啟
0x04���、Web安裝向?qū)е改?/h4>step.1
在安裝完成后�����,訪問(wèn)安裝服務(wù)器的地址�,使用https協(xié)議
點(diǎn)擊初始化�����,初始化數(shù)據(jù)庫(kù)��。
step.2
初始化規(guī)則, 規(guī)則可以自己編寫����,也可以使用默認(rèn)規(guī)則,默認(rèn)規(guī)則可在 release 包內(nèi)的 rules.json 找到�����,也可以復(fù)制 rules.json里的內(nèi)容�����。
以下顏色的地方開始復(fù)制:
step.3
第三步上傳文件包,文件包內(nèi)包含著 agent, daemon, data 三個(gè)文件�����, 可從 release 里面找到對(duì)應(yīng)的壓縮包上傳��。最好三個(gè)系統(tǒng)版本全部上傳���,不然后續(xù)無(wú)法增加新的系統(tǒng)版本�。
該壓縮包可以在對(duì)應(yīng)的系統(tǒng)下�,使用 /build/build.py 生成��。
step.4
請(qǐng)注意查看編輯框內(nèi)的提示信息����,填寫相應(yīng)內(nèi)容。
點(diǎn)擊生成“生成證書”按鈕�,如果 web 是運(yùn)行在linux下的話,應(yīng)該可以直接生成證書���,如果不是linux的話�,可下載私鑰文件并使用提示命令生成證書���,再將證書內(nèi)容放置于編輯框內(nèi)���。
0x05�����、啟動(dòng)server
./server -db 192.168.89.180:27017 -es 192.168.89.180:9200
后臺(tái)啟動(dòng) nohup ./server -db 192.168.89.180:27017 -es 192.168.89.180:9200 &
ss –antpl
查看一下33433端口是否開啟
0x06��、agent安裝
#在主機(jī)列表添加處可查看自動(dòng)生成的安裝命令(linux需要安裝libpcap �����;Windows需要安裝winpcap)
#例 web 地址為為http://192.168.89.180����,netloc 后跟的ip即為 web 的ip
安裝命令匯總:
linux-64 : wget -O /tmp/daemon http://192.168.89.180:80/json/download?type=daemon\&system=linux\&platform=64\&action=download;chmod +x /tmp/daemon;/tmp/daemon -install -netloc 192.168.89.180
windows-64 : cd %SystemDrive% & certutil -urlcache -split -f http://192.168.89.180:80/json/download?type=daemon^&system=windows^&platform=64^&action=download daemon.exe & daemon.exe -install -netloc 192.168.89.180
windows-32 : cd %SystemDrive% & certutil -urlcache -split -f http://192.168.89.180:80/json/download?type=daemon^&system=windows^&platform=32^&action=download daemon.exe & daemon.exe -install -netloc 192.168.89.180
windows-32-powershell : [System.Net.ServicePointManager]::ServerCertificateValidationCallback={$true};(New-Object System.Net.WebClient).DownloadFile("https://192.168.89.180/json/download?type=daemon&system=windows&platform=32&action=download", "C:\daemon.exe");C:\daemon.exe -install -netloc 192.168.89.180;
windows-64-powershell : [System.Net.ServicePointManager]::ServerCertificateValidationCallback={$true};(New-Object System.Net.WebClient).DownloadFile("https://192.168.89.180/json/download?type=daemon&system=windows&platform=64&action=download", "C:\daemon.exe");C:\daemon.exe -install -netloc 192.168.89.180;
客戶端已經(jīng)上線 :
測(cè)試webshell執(zhí)行系統(tǒng)命令�����,可以成功檢測(cè)到
測(cè)試反彈meterpreter/reverse_tcp,系統(tǒng)也成功檢測(cè)到×××
分享名稱:馭龍HIDS安裝及測(cè)試
文章分享:
http://weahome.cn/article/gsgcpd.html
重慶分公司
重慶分公司
