驭龙HIDS安装及测试

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了驭龙HIDS安装及测试相关的知识,希望对你有一定的参考价值。

0x00、安装前准备工作

1、服务端:192.168.89.180(4GB内存,需要安装mongodb,elasticsearch,下载驭龙的编译好的包上传/home并运行web,然后初始化,最后运行server端,然后查看所有端口号是否开启:9200,9300,80,443,27017,33433) (建议:为服务端配置好yum源,安装好wget、unzip、如果系统时间不对在安装上ntpdate)

技术分享图片


2、客户端192.168.89.185

配置好服务端之后,客户端只需要按照agent安装过程进行安装即可。

 

0x01、部署mongodb

1、安装mongodb并启动

#mkdir /var/lib/mongodb/ && mkdir /var/log/mongodb && wget https://sec.ly.com/mirror/mongodb-linux-x86_64-3.6.3.tgz && tar -xvzf mongodb-linux-x86_64-3.6.3.tgz && mongodb-linux-x86_64-3.6.3/bin/mongod --dbpath /var/lib/mongodb/ --logpath /var/log/mongodb.log --fork --bind_ip 192.168.89.180

# yum install -y mongodb-org

查看一下端口号27017是否开启

#ss –antpl

技术分享图片


0x02、部署es

安装jre:

#wget https://sec.ly.com/mirror/jre-8u161-linux-x64.rpm && yum -y localinstall jre-8u161-linux-x64.rpm

由于在Linux系统中用wget下载es安装包速度慢,所以建议单独下载之后上传此文件到/home目录中

#cd /home

#tar xf elasticsearch-5.6.8.tar.gz -C /opt

或者官方下载安装

#wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.6.8.tar.gz && tar -zxvf elasticsearch-5.6.8.tar.gz -C /opt

Elasticsearch 不建议以 root 权限运行,新建一个非 root 权限用户,-p 后跟自行设定的密码

#groupadd elasticsearch && useradd elasticsearch -g elasticsearch -p 123qwe..

修改文件夹及内部文件的所属用户及组为 elasticsearch:elasticsearch

#chown -R elasticsearch:elasticsearch /opt/elasticsearch-5.6.8

centos7 以下的系统请一定编辑 /opt/elasticsearch-5.6.8/config/elasticsearch.yml:

network.host: 192.168.89.180

discovery.type: single-node

bootstrap.system_call_filter: false

启动服务

#su - elasticsearch -c '/opt/elasticsearch-5.6.8/bin/elasticsearch -d'

检查一下9200,9300端口是否启动,内存小的话可以多等一下(2GB内存的启动2分钟左右  4GB的1分钟左右)

ss -antpl

技术分享图片

curl请求下确认ES启动成功

curl -XGET -s "http://localhost:9200/_cluster/health?pretty"

curl -XGET -s "http://127.0.0.1:9200/_cluster/health?pretty"

curl -XGET -s "http://192.168.89.180:9200/_cluster/health?pretty"

技术分享图片


0x03、将驭龙编译好的包上传到/home中,并解压到/home/yulong-hids中

技术分享图片

#chmod 755 server web/web

#vi /root/yulong-hids/web/conf/app.conf

修改登陆web管理界面的密码。密码自己设置为MD5的加密信息

技术分享图片

md5(123qwe..,32) = 6c2084f62b844a511cb9e72597e4ffe4

设置完密码后继续修改配置文件

是否开启二次验证,这里二次验证需要Google的APP配置使用。主要是对敏感操作进行权限管理

因为测试阶段,所以没有开启二次验证

修改mongodb的地址和es的地址为安装地址

技术分享图片

启动web:

cd web/

./web

或者后台启动:

nohup ./web &

ss –antpl

查看80 443端口是否开启

技术分享图片

0x04、Web安装向导指南

step.1

在安装完成后,访问安装服务器的地址,使用https协议

技术分享图片

点击初始化,初始化数据库。

step.2

初始化规则, 规则可以自己编写,也可以使用默认规则,默认规则可在 release 包内的 rules.json 找到,也可以复制 rules.json里的内容。

以下颜色的地方开始复制:

技术分享图片 

step.3

技术分享图片

第三步上传文件包,文件包内包含着 agent, daemon, data 三个文件, 可从 release 里面找到对应的压缩包上传。最好三个系统版本全部上传,不然后续无法增加新的系统版本。

该压缩包可以在对应的系统下,使用 /build/build.py 生成。

step.4

技术分享图片

请注意查看编辑框内的提示信息,填写相应内容。

点击生成“生成证书”按钮,如果 web 是运行在linux下的话,应该可以直接生成证书,如果不是linux的话,可下载私钥文件并使用提示命令生成证书,再将证书内容放置于编辑框内。

0x05、启动server

./server -db 192.168.89.180:27017 -es 192.168.89.180:9200

后台启动 nohup ./server -db 192.168.89.180:27017 -es 192.168.89.180:9200 &

ss –antpl

查看一下33433端口是否开启

技术分享图片

0x06、agent安装

# 在主机列表添加处可查看自动生成的安装命令(linux需要安装libpcap ;Windows需要安装winpcap)

# 例 web 地址为为http://192.168.89.180,netloc 后跟的ip即为 web 的ip

安装命令汇总:

linux-64 : wget -O /tmp/daemon http://192.168.89.180:80/json/download?type=daemon&system=linux&platform=64&action=download;chmod +x /tmp/daemon;/tmp/daemon -install -netloc 192.168.89.180

windows-64 : cd %SystemDrive% & certutil -urlcache -split -f http://192.168.89.180:80/json/download?type=daemon^&system=windows^&platform=64^&action=download daemon.exe & daemon.exe -install -netloc 192.168.89.180

windows-32 : cd %SystemDrive% & certutil -urlcache -split -f http://192.168.89.180:80/json/download?type=daemon^&system=windows^&platform=32^&action=download daemon.exe & daemon.exe -install -netloc 192.168.89.180

windows-32-powershell : [System.Net.ServicePointManager]::ServerCertificateValidationCallback={$true};(New-Object System.Net.WebClient).DownloadFile("https://192.168.89.180/json/download?type=daemon&system=windows&platform=32&action=download", "C:daemon.exe");C:daemon.exe -install -netloc 192.168.89.180;

windows-64-powershell : [System.Net.ServicePointManager]::ServerCertificateValidationCallback={$true};(New-Object System.Net.WebClient).DownloadFile("https://192.168.89.180/json/download?type=daemon&system=windows&platform=64&action=download", "C:daemon.exe");C:daemon.exe -install -netloc 192.168.89.180;

技术分享图片

 

客户端已经上线 :

技术分享图片


技术分享图片

 

测试webshell执行系统命令,可以成功检测到

技术分享图片

测试反弹meterpreter/reverse_tcp,系统也成功检测到×××

技术分享图片

 


以上是关于驭龙HIDS安装及测试的主要内容,如果未能解决你的问题,请参考以下文章

HIDS Agent

ubuntu16.04 安装ossec

hids Elastic Security 系列2-部署和运维

hids Elastic Security 系列1-Elastic Security介绍

hids Elastic Security 系列1-Elastic Security介绍

转载Scrapy安装及demo测试笔记