一款由 YSRC 開源的主機***檢測系統
0x00、安裝前準備工作
1、服務端:192.168.89.180(4GB內存,需要安裝mongodb,elasticsearch,下載馭龍的編譯好的包上傳/home並運行web,然後初始化,最後運行server端,然後查看所有端口號是否開啓:9200,9300,80,443,27017,33433) (建議:爲服務端配置好yum源,安裝好wget、unzip、如果系統時間不對在安裝上ntpdate)
2、客戶端192.168.89.185
配置好服務端之後,客戶端只需要按照agent安裝過程進行安裝即可。
0x01、部署mongodb
1、安裝mongodb並啓動
#mkdir /var/lib/mongodb/ && mkdir /var/log/mongodb && wget https://sec.ly.com/mirror/mongodb-linux-x86_64-3.6.3.tgz && tar -xvzf mongodb-linux-x86_64-3.6.3.tgz && mongodb-linux-x86_64-3.6.3/bin/mongod --dbpath /var/lib/mongodb/ --logpath /var/log/mongodb.log --fork --bind_ip 192.168.89.180
# yum install -y mongodb-org
查看一下端口號27017是否開啓
#ss –antpl
0x02、部署es
安裝jre:
#wget https://sec.ly.com/mirror/jre-8u161-linux-x64.rpm && yum -y localinstall jre-8u161-linux-x64.rpm
由於在Linux系統中用wget下載es安裝包速度慢,所以建議單獨下載之後上傳此文件到/home目錄中
#cd /home
#tar xf elasticsearch-5.6.8.tar.gz -C /opt
或者官方下載安裝
#wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.6.8.tar.gz && tar -zxvf elasticsearch-5.6.8.tar.gz -C /opt
Elasticsearch 不建議以 root 權限運行,新建一個非 root 權限用戶,-p 後跟自行設定的密碼
#groupadd elasticsearch && useradd elasticsearch -g elasticsearch -p 123qwe..
修改文件夾及內部文件的所屬用戶及組爲 elasticsearch:elasticsearch
#chown -R elasticsearch:elasticsearch /opt/elasticsearch-5.6.8
centos7 以下的系統請一定編輯 /opt/elasticsearch-5.6.8/config/elasticsearch.yml:
network.host: 192.168.89.180
discovery.type: single-node
bootstrap.system_call_filter: false
啓動服務
#su - elasticsearch -c '/opt/elasticsearch-5.6.8/bin/elasticsearch -d'
檢查一下9200,9300端口是否啓動,內存小的話可以多等一下(2GB內存的啓動2分鐘左右 4GB的1分鐘左右)
ss -antpl
curl請求下確認ES啓動成功
curl -XGET -s "http://localhost:9200/_cluster/health?pretty"
curl -XGET -s "http://127.0.0.1:9200/_cluster/health?pretty"
curl -XGET -s "http://192.168.89.180:9200/_cluster/health?pretty"
0x03、將馭龍編譯好的包上傳到/home中,並解壓到/home/yulong-hids中
#chmod 755 server web/web
#vi /root/yulong-hids/web/conf/app.conf
修改登陸web管理界面的密碼。密碼自己設置爲MD5的加密信息
md5(123qwe..,32) = 6c2084f62b844a511cb9e72597e4ffe4
設置完密碼後繼續修改配置文件
是否開啓二次驗證,這裏二次驗證需要Google的APP配置使用。主要是對敏感操作進行權限管理
因爲測試階段,所以沒有開啓二次驗證
修改mongodb的地址和es的地址爲安裝地址
啓動web:
cd web/
./web
或者後臺啓動:
nohup ./web &
ss –antpl
查看80 443端口是否開啓
0x04、Web安裝嚮導指南
step.1
在安裝完成後,訪問安裝服務器的地址,使用https協議
點擊初始化,初始化數據庫。
step.2
初始化規則, 規則可以自己編寫,也可以使用默認規則,默認規則可在 release 包內的 rules.json 找到,也可以複製 rules.json裏的內容。
以下顏色的地方開始複製:
step.3
第三步上傳文件包,文件包內包含着 agent, daemon, data 三個文件, 可從 release 裏面找到對應的壓縮包上傳。最好三個系統版本全部上傳,不然後續無法增加新的系統版本。
該壓縮包可以在對應的系統下,使用 /build/build.py 生成。
step.4
請注意查看編輯框內的提示信息,填寫相應內容。
點擊生成“生成證書”按鈕,如果 web 是運行在linux下的話,應該可以直接生成證書,如果不是linux的話,可下載私鑰文件並使用提示命令生成證書,再將證書內容放置於編輯框內。
0x05、啓動server
./server -db 192.168.89.180:27017 -es 192.168.89.180:9200
後臺啓動 nohup ./server -db 192.168.89.180:27017 -es 192.168.89.180:9200 &
ss –antpl
查看一下33433端口是否開啓
0x06、agent安裝
# 在主機列表添加處可查看自動生成的安裝命令(linux需要安裝libpcap ;Windows需要安裝winpcap)
# 例 web 地址爲爲http://192.168.89.180,netloc 後跟的ip即爲 web 的ip
安裝命令彙總:
linux-64 : wget -O /tmp/daemon http://192.168.89.180:80/json/download?type=daemon\&system=linux\&platform=64\&action=download;chmod +x /tmp/daemon;/tmp/daemon -install -netloc 192.168.89.180
windows-64 : cd %SystemDrive% & certutil -urlcache -split -f http://192.168.89.180:80/json/download?type=daemon^&system=windows^&platform=64^&action=download daemon.exe & daemon.exe -install -netloc 192.168.89.180
windows-32 : cd %SystemDrive% & certutil -urlcache -split -f http://192.168.89.180:80/json/download?type=daemon^&system=windows^&platform=32^&action=download daemon.exe & daemon.exe -install -netloc 192.168.89.180
windows-32-powershell : [System.Net.ServicePointManager]::ServerCertificateValidationCallback={$true};(New-Object System.Net.WebClient).DownloadFile("https://192.168.89.180/json/download?type=daemon&system=windows&platform=32&action=download", "C:\daemon.exe");C:\daemon.exe -install -netloc 192.168.89.180;
windows-64-powershell : [System.Net.ServicePointManager]::ServerCertificateValidationCallback={$true};(New-Object System.Net.WebClient).DownloadFile("https://192.168.89.180/json/download?type=daemon&system=windows&platform=64&action=download", "C:\daemon.exe");C:\daemon.exe -install -netloc 192.168.89.180;
客戶端已經上線 :
測試webshell執行系統命令,可以成功檢測到
測試反彈meterpreter/reverse_tcp,系統也成功檢測到×××