驭龙HIDS安装及测试
一款由 YSRC 开源的主机***检测系统
项目地址https://github.com/ysrc/yulong-hids0x00、安装前准备工作
1、服务端:192.168.89.180(4GB内存,需要安装mongodb,elasticsearch,下载驭龙的编译好的包上传/home并运行web,然后初始化,最后运行server端,然后查看所有端口号是否开启:9200,9300,80,443,27017,33433) (建议:为服务端配置好yum源,安装好wget、unzip、如果系统时间不对在安装上ntpdate)
2、客户端192.168.89.185
配置好服务端之后,客户端只需要按照agent安装过程进行安装即可。
0x01、部署mongodb
1、安装mongodb并启动
#mkdir /var/lib/mongodb/ && mkdir /var/log/mongodb && wget https://sec.ly.com/mirror/mongodb-linux-x86_64-3.6.3.tgz && tar -xvzf mongodb-linux-x86_64-3.6.3.tgz && mongodb-linux-x86_64-3.6.3/bin/mongod --dbpath /var/lib/mongodb/ --logpath /var/log/mongodb.log --fork --bind_ip 192.168.89.180
# yum install -y mongodb-org
查看一下端口号27017是否开启
#ss -antpl
0x02、部署es
安装jre:
#wget https://sec.ly.com/mirror/jre-8u161-linux-x64.rpm && yum -y localinstall jre-8u161-linux-x64.rpm
由于在Linux系统中用wget下载es安装包速度慢,所以建议单独下载之后上传此文件到/home目录中
#cd /home
#tar xf elasticsearch-5.6.8.tar.gz -C /opt
或者官方下载安装
#wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.6.8.tar.gz && tar -zxvf elasticsearch-5.6.8.tar.gz -C /opt
Elasticsearch 不建议以 root 权限运行,新建一个非 root 权限用户,-p 后跟自行设定的密码
#groupadd elasticsearch && useradd elasticsearch -g elasticsearch -p 123qwe..
修改文件夹及内部文件的所属用户及组为 elasticsearch:elasticsearch
#chown -R elasticsearch:elasticsearch /opt/elasticsearch-5.6.8
centos7 以下的系统请一定编辑 /opt/elasticsearch-5.6.8/config/elasticsearch.yml:
network.host: 192.168.89.180
discovery.type: single-node
bootstrap.system_call_filter: false
启动服务
#su - elasticsearch -c '/opt/elasticsearch-5.6.8/bin/elasticsearch -d'
检查一下9200,9300端口是否启动,内存小的话可以多等一下(2GB内存的启动2分钟左右 4GB的1分钟左右)
ss -antpl
curl请求下确认ES启动成功
curl -XGET -s "http://localhost:9200/_cluster/health?pretty"
curl -XGET -s "http://127.0.0.1:9200/_cluster/health?pretty"
curl -XGET -s "http://192.168.89.180:9200/_cluster/health?pretty"
0x03、将驭龙编译好的包上传到/home中,并解压到/home/yulong-hids中
#chmod 755 server web/web
#vi /root/yulong-hids/web/conf/app.conf
修改登陆web管理界面的密码。密码自己设置为MD5的加密信息
md5(123qwe..,32) = 6c2084f62b844a511cb9e72597e4ffe4
设置完密码后继续修改配置文件
是否开启二次验证,这里二次验证需要Google的APP配置使用。主要是对敏感操作进行权限管理
因为测试阶段,所以没有开启二次验证
修改mongodb的地址和es的地址为安装地址
启动web:
cd web/
./web
或者后台启动:
nohup ./web &
ss -antpl
查看80 443端口是否开启
0x04、Web安装向导指南
step.1
在安装完成后,访问安装服务器的地址,使用https协议
点击初始化,初始化数据库。
step.2
初始化规则, 规则可以自己编写,也可以使用默认规则,默认规则可在 release 包内的 rules.json 找到,也可以复制 rules.json里的内容。
以下颜色的地方开始复制:
step.3
第三步上传文件包,文件包内包含着 agent, daemon, data 三个文件, 可从 release 里面找到对应的压缩包上传。最好三个系统版本全部上传,不然后续无法增加新的系统版本。
该压缩包可以在对应的系统下,使用 /build/build.py 生成。
step.4
请注意查看编辑框内的提示信息,填写相应内容。
点击生成"生成证书"按钮,如果 web 是运行在linux下的话,应该可以直接生成证书,如果不是linux的话,可下载私钥文件并使用提示命令生成证书,再将证书内容放置于编辑框内。
0x05、启动server
./server -db 192.168.89.180:27017 -es 192.168.89.180:9200
后台启动 nohup ./server -db 192.168.89.180:27017 -es 192.168.89.180:9200 &
ss -antpl
查看一下33433端口是否开启
0x06、agent安装
# 在主机列表添加处可查看自动生成的安装命令(linux需要安装libpcap ;Windows需要安装winpcap)
# 例 web 地址为为http://192.168.89.180,netloc 后跟的ip即为 web 的ip
安装命令汇总:
linux-64 : wget -O /tmp/daemon http://192.168.89.180:80/json/download?type=daemon\&system=linux\&platform=64\&action=download;chmod +x /tmp/daemon;/tmp/daemon -install -netloc 192.168.89.180
windows-64 : cd %SystemDrive% & certutil -urlcache -split -f http://192.168.89.180:80/json/download?type=daemon^&system=windows^&platform=64^&action=download daemon.exe & daemon.exe -install -netloc 192.168.89.180
windows-32 : cd %SystemDrive% & certutil -urlcache -split -f http://192.168.89.180:80/json/download?type=daemon^&system=windows^&platform=32^&action=download daemon.exe & daemon.exe -install -netloc 192.168.89.180
windows-32-powershell : [System.Net.ServicePointManager]::ServerCertificateValidationCallback={$true};(New-Object System.Net.WebClient).DownloadFile("https://192.168.89.180/json/download?type=daemon&system=windows&platform=32&action=download", "C:\daemon.exe");C:\daemon.exe -install -netloc 192.168.89.180;
windows-64-powershell : [System.Net.ServicePointManager]::ServerCertificateValidationCallback={$true};(New-Object System.Net.WebClient).DownloadFile("https://192.168.89.180/json/download?type=daemon&system=windows&platform=64&action=download", "C:\daemon.exe");C:\daemon.exe -install -netloc 192.168.89.180;
客户端已经上线 :
测试webshell执行系统命令,可以成功检测到
测试反弹meterpreter/reverse_tcp,系统也成功检测到×××