• Stars
    star
    100
  • Rank 340,703 (Top 7 %)
  • Language
  • Created almost 7 years ago
  • Updated almost 7 years ago

Reviews

There are no reviews yet. Be the first to send feedback to the community and the maintainers!

Repository Details

HIDS全称是Host-based Intrusion Detection System,即基于主机型入侵检测系统,HIDS运行依赖这样一个原理:一个成功的入侵者一般而言都会留下他们入侵的痕迹。本人更倾向于通过记录主机的重要信息变更来发现入侵者。 本项目由两部分组成:一部分osquery、另一部分监控脚本来补充osquery规则的不足; 本文是第一部分osquery规则部分,实现绝大部分主机信息监控。

HIDS 0.1

HIDS运行依赖这样一个原理:一个成功的入侵者一般而言都会留下他们入侵的痕迹。本人更倾向于通过记录主机的重要信息变更来发现入侵者。 本项目由两部分组成:一部分osquery、另一部分监控脚本来补充osquery规则的不足; 本文是第一部分osquery规则部分,实现部分主机信息监控。

Author

咚咚呛

如有其他建议,可联系微信280495355

Support

满足如下安全需求

1、支持大部分Centos6-7、winodws系统等。
2、可记录主机的信息变更情况,如账户、进程、网络连接等等;
3、变更结果记录到日志中;

技术细节如下:

1、监控主机信息如下:
1)对公网访问的网络连接增加情况
2)进程增加情况
3)对外端口侦听增加情况
4)arp缓存变化情况
5)authorized_keys公钥差异变化
6)crontab定时任务差异变化
7)DNS映射表差异变化
8)etc_hosts信息差异变化
9)etc_services 差异变化
10)groups 本地系统组差异变化
11)iptables 防火墙差异变化
12)系统登录和登出差异变化
13)主机系统的主动路由表差异变化
14)应用程序和二进制文件设置为用户/登录启动项,差异变化
15)通过sudo作为其他用户运行命令的规则差异变化
16)主动插入主机系统的USB设备差异变化
17)本地系统用户组关系差异变化
18)系统用户差异变化

Test Environment

centos 7、6

Tree

osquery
----osquery.conf		   	   #osquery系统配置文件
----secrity.conf		   	   #安全监控规则

Deploy

1)根据系统同版本,下载osquery
$ wget https://s3.amazonaws.com/osquery-packages/centos7/x86_64/osquery-2.4.6-1.linux.x86_64.rpm 
$ wget https://s3.amazonaws.com/osquery-packages/centos6/x86_64/osquery-2.4.6-1.linux.x86_64.rpm
2)根据系统版本,安装osquery
$ sudo rpm -ivh centos6_osquery-2.4.6-1.linux.x86_64.rpm
$ sudo rpm -ivh centos7_osquery-2.4.6-1.linux.x86_64.rpm
3)拷贝 osquery.conf 和 secrity.conf 到 /etc/osquery/目录下
4)启动osquery服务
$ sudo /etc/init.d/osqueryd restart

Config

安全监控规则在文件secrity.conf中,可自行修改,其中包含主要几项,query、interval、removed。
query: 查询的SQL语句
interval: 查询间隔,单位时间为秒
removed: 是否生成减少的记录
如:
"users": {
  "query" : "select * from users;",
  "interval" : 3600,
  "removed": false
}

Log

默认日志结果存储在/var/log/osquer/osqueryd.INFO,其中保存了主机差异变化信息

Screenshot

安装完毕后,如下:

Screenshot

Screenshot

服务器启动后如下:

Screenshot

Screenshot

More Repositories

1

GScan

本程序旨在为安全应急响应人员对Linux主机排查时提供便利,实现主机侧Checklist的自动全面化检测,根据检测结果自动数据聚合,进行黑客攻击路径溯源。
Python
2,593
star
2

PublicMonitors

对公网IP列表进行端口服务扫描,发现周期内的端口服务变化情况和弱口令安全风险
Python
607
star
3

EBurst

这个脚本主要提供对Exchange邮件服务器的账户爆破功能,集成了现有主流接口的爆破方式。
Python
322
star
4

ScanCVE

监控github上CVE增量,并发送微信通知
Python
131
star
5

PublicSecScan

针对大量WEB资产进行分布式WEB安全扫描,发现web环境下常规的一些安全漏洞
Python
99
star
6

PubilcAssetInfo

以甲方安全人员的视角,尽可能收集发现企业的域名和服务器公网IP资产
Python
65
star
7

PassiveSecCheck

自动化被动扫描系统分为数据源、数据处理、漏洞验证等三个子系统,本系统属于漏洞验证部分,根据提供的数据进行分布式安全验证,确定是否包含相关严重漏洞。
Python
49
star
8

PassiveDataSorting

自动化被动扫描系统分为数据源、数据处理、漏洞验证等三个子系统,本系统属于数据处理部分,抓取流量镜像的数据,进行分析过滤去重等操作,发送至消息队列中,等待PassiveSecCheck消费
Python
35
star
9

PypiScan

这个脚本主要提供对pypi供应链的源头进行安全扫描研究,扫描并发现未知的恶意包情况。
Python
31
star
10

SSRF_payload

本脚本旨在生成各类畸形URL链接,进行探测使用的payload,尝试绕过服务端ssrf限制。
Python
29
star
11

PicLocation

快速获取图片的GPS和其拍摄地理位置
Python
20
star
12

FileCheck

本脚本是HIDS组成的一部分,旨在对指定监控目录进行文件hash记录,定时运行,发现文件替换、修改等后门可疑程序。
Python
13
star
13

CodeInspect

以代码发布的方式,从根本上实现WEBShell、网马或恶意链接等安全方面的检测。
Python
8
star
14

NetWorkCheck

本脚本旨在对内网服务器对外链接进行监控,监控对外网链接的进程信息。多数用于不存在或存在少量codeback等服务器环境下,用于事后追溯和事件发现,可作为反弹shell监控的一部分部署。
Python
8
star
15

IPCreate

这个脚本主要目标是解析IP网段(127.0.0.1/30或者127.0.0.1-127.0.0.10)列表内容,并生成所有可用的IP信息到指定文件。
Python
7
star
16

PassiveLogSorting

自动化被动扫描系统分为数据源、数据处理、漏洞验证等三个子系统,本系统属于数据处理部分,当流量镜像没权限施行时,可退而求其次,把web日志当作数据源进行分析,并进行过滤去重等操作,发送至消息队列中,等待PassiveSecCheck漏洞验证消费
Python
5
star