馭龍HIDS安裝及測試

一款由 YSRC 開源的主機***檢測系統

0x00、安裝前準備工作

1、服務端：192.168.89.180（4GB內存,需要安裝mongodb,elasticsearch,下載馭龍的編譯好的包上傳/home并運行web，然后初始化，最后運行server端，然后查看所有端口號是否開啟：9200，9300，80，443，27017，33433） （建議：為服務端配置好yum源，安裝好wget、unzip、如果系統時間不對在安裝上ntpdate）

2、客戶端192.168.89.185

配置好服務端之后，客戶端只需要按照agent安裝過程進行安裝即可。

0x01、部署mongodb

1、安裝mongodb并啟動

#mkdir /var/lib/mongodb/ && mkdir /var/log/mongodb && wget https://sec.ly.com/mirror/mongodb-linux-x86_64-3.6.3.tgz && tar -xvzf mongodb-linux-x86_64-3.6.3.tgz && mongodb-linux-x86_64-3.6.3/bin/mongod --dbpath /var/lib/mongodb/ --logpath /var/log/mongodb.log --fork --bind_ip 192.168.89.180

# yum install -y mongodb-org

查看一下端口號27017是否開啟

#ss –antpl

0x02、部署es

安裝jre:

#wget https://sec.ly.com/mirror/jre-8u161-linux-x64.rpm && yum -y localinstall jre-8u161-linux-x64.rpm

由于在Linux系統中用wget下載es安裝包速度慢，所以建議單獨下載之后上傳此文件到/home目錄中

#cd /home

#tar xf elasticsearch-5.6.8.tar.gz -C /opt

或者官方下載安裝

#wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.6.8.tar.gz && tar -zxvf elasticsearch-5.6.8.tar.gz -C /opt

Elasticsearch 不建議以 root 權限運行，新建一個非 root 權限用戶，-p 后跟自行設定的密碼

#groupadd elasticsearch && useradd elasticsearch -g elasticsearch -p 123qwe..

修改文件夾及內部文件的所屬用戶及組為 elasticsearch:elasticsearch

#chown -R elasticsearch:elasticsearch /opt/elasticsearch-5.6.8

centos7 以下的系統請一定編輯 /opt/elasticsearch-5.6.8/config/elasticsearch.yml：

network.host: 192.168.89.180

discovery.type: single-node

bootstrap.system_call_filter: false

啟動服務

#su - elasticsearch -c '/opt/elasticsearch-5.6.8/bin/elasticsearch -d'

檢查一下9200，9300端口是否啟動，內存小的話可以多等一下（2GB內存的啟動2分鐘左右  4GB的1分鐘左右）

ss -antpl

curl請求下確認ES啟動成功

curl -XGET -s "http://localhost:9200/_cluster/health?pretty"

curl -XGET -s "http://127.0.0.1:9200/_cluster/health?pretty"

curl -XGET -s "http://192.168.89.180:9200/_cluster/health?pretty"

0x03、將馭龍編譯好的包上傳到/home中，并解壓到/home/yulong-hids中

#chmod 755 server web/web

#vi /root/yulong-hids/web/conf/app.conf

修改登陸web管理界面的密碼。密碼自己設置為MD5的加密信息

md5(123qwe..,32) = 6c2084f62b844a511cb9e72597e4ffe4

設置完密碼后繼續修改配置文件

是否開啟二次驗證，這里二次驗證需要Google的APP配置使用。主要是對敏感操作進行權限管理

因為測試階段，所以沒有開啟二次驗證

修改mongodb的地址和es的地址為安裝地址

啟動web:

cd web/

./web

或者后臺啟動：

nohup ./web &

ss –antpl

查看80 443端口是否開啟

0x04、Web安裝向導指南

step.1

在安裝完成后，訪問安裝服務器的地址，使用https協議

點擊初始化，初始化數據庫。

step.2

初始化規則, 規則可以自己編寫，也可以使用默認規則，默認規則可在 release 包內的 rules.json 找到，也可以復制 rules.json里的內容。

以下顏色的地方開始復制：

step.3

第三步上傳文件包，文件包內包含著 agent, daemon, data 三個文件， 可從 release 里面找到對應的壓縮包上傳。最好三個系統版本全部上傳，不然后續無法增加新的系統版本。

該壓縮包可以在對應的系統下，使用 /build/build.py 生成。

step.4

請注意查看編輯框內的提示信息，填寫相應內容。

點擊生成“生成證書”按鈕，如果 web 是運行在linux下的話，應該可以直接生成證書，如果不是linux的話，可下載私鑰文件并使用提示命令生成證書，再將證書內容放置于編輯框內。

0x05、啟動server

./server -db 192.168.89.180:27017 -es 192.168.89.180:9200

后臺啟動 nohup ./server -db 192.168.89.180:27017 -es 192.168.89.180:9200 &

ss –antpl

查看一下33433端口是否開啟

0x06、agent安裝

# 在主機列表添加處可查看自動生成的安裝命令（linux需要安裝libpcap ；Windows需要安裝winpcap）

# 例 web 地址為為http://192.168.89.180，netloc 后跟的ip即為 web 的ip

安裝命令匯總：

linux-64 : wget -O /tmp/daemon http://192.168.89.180:80/json/download?type=daemon\&system=linux\&platform=64\&action=download;chmod +x /tmp/daemon;/tmp/daemon -install -netloc 192.168.89.180

windows-64 : cd %SystemDrive% & certutil -urlcache -split -f http://192.168.89.180:80/json/download?type=daemon^&system=windows^&platform=64^&action=download daemon.exe & daemon.exe -install -netloc 192.168.89.180

windows-32 : cd %SystemDrive% & certutil -urlcache -split -f http://192.168.89.180:80/json/download?type=daemon^&system=windows^&platform=32^&action=download daemon.exe & daemon.exe -install -netloc 192.168.89.180

windows-32-powershell : [System.Net.ServicePointManager]::ServerCertificateValidationCallback={$true};(New-Object System.Net.WebClient).DownloadFile("https://192.168.89.180/json/download?type=daemon&system=windows&platform=32&action=download", "C:\daemon.exe");C:\daemon.exe -install -netloc 192.168.89.180;

windows-64-powershell : [System.Net.ServicePointManager]::ServerCertificateValidationCallback={$true};(New-Object System.Net.WebClient).DownloadFile("https://192.168.89.180/json/download?type=daemon&system=windows&platform=64&action=download", "C:\daemon.exe");C:\daemon.exe -install -netloc 192.168.89.180;

客戶端已經上線 :

測試webshell執行系統命令，可以成功檢測到

測試反彈meterpreter/reverse_tcp,系統也成功檢測到×××