监测黑客入侵服务器的事件----【堡塔入侵检测】
堡塔入侵检测插件更新日志[*]2.7 版本更新
1.【优化】兼容最新内核版本
2.【修复】修复部分规则匹配异常问题
3.【修复】centos7-119内核系列不稳定问题
有任何建议和问题都欢迎在本贴下留言,也可进群709033027 @群主https://www.bt.cn/bbs/static/image/smiley/comcom/5.gif
一、功能介绍
通过在Linux内核态采集数据,实时的检测识别服务器上的恶意行为,例如反弹shell、权限提升、带外攻击等黑客入侵行为,并及时告警提醒。
支持绝大部分内核版本、linux发行版。
现已支持自动编译内核文件,解决了大部分内核不兼容问题,若无法正常使用,请执行下面指令,并修复一下插件即可,若无效,请截图发到讨论区cd /www/server/panel/plugin/bt_hids/LKM/ && make
二、使用方式
①打开堡塔入侵检测插件,点击【入侵检测开关】,即可开启入侵行为监测
②在【告警设置】配置接收告警信息平台,以便发现入侵行为,第一时间能收到通知并及时响应
③在插件【首页-告警内容】中点击【详情】,即可查看入侵行为的详细信息以及处理建议
④若某些正常行为被告警误报,可以点击【加白】,将该告警列入白名单
通过新增、修改、删除规则字段,来调整白名单,当下次匹配到加白规则的行为,则不会发送告警
⑥当入侵行为已被处理,可以点击【已处理】来删除该告警
三、入侵行为测试
1.socket型反弹shell
模拟黑客开启监听5566端口
被入侵主机进行反向连接
黑客主机接受连接并执行命令
堡塔入侵检测发现反弹shell连接并发送告警
根据【处理建议】执行命令,中断入侵行为
反弹shell进程已被杀死
2.7版本更新
1.【优化】兼容最新内核版本
2.【修复】修复部分规则匹配异常问题
3.【修复】centos7-119内核系列不稳定问题 入侵检测2.8 更新
1.【修复】首次安装启动失败问题
2.【优化】过滤掉一些常见的无用的进程信息
3.【新增】告警内容一键处理按钮
4.【兼容】OpenCloudOS 9系统 具体支持哪些内核?有没有个列表什么的 服务器是Alibaba Cloud 3(5.10 内核),“堡塔入侵检测”开始是正常可以开启的,在执行下述系统更新后,“堡塔入侵检测”提示:“当前内核版本(5.10.134-19.2.al8.x86_64)不支持使用堡塔入侵检测,更换内核版本参考:https://www.bt.cn/bbs/thread-113964-1-1.html”,无法开启“堡塔入侵检测”,如何解决
yum check-update
alinux3-os 112 kB/s | 3.8 kB 00:00
alinux3-updates 195 kB/s | 4.1 kB 00:00
alinux3-updates 79 MB/s |35 MB 00:00
alinux3-module 139 kB/s | 4.2 kB 00:00
alinux3-plus 315 kB/s | 3.1 kB 00:00
alinux3-plus 73 MB/s |33 MB 00:00
alinux3-powertools 277 kB/s | 3.0 kB 00:00
Extra Packages for Enterprise Linux 8 - x86_64 492 kB/s | 4.0 kB 00:00
Extra Packages for Enterprise Linux 8 - x86_64 50 MB/s |14 MB 00:00
Extra Packages for Enterprise Linux Modular 8 - x86_64 364 kB/s | 3.0 kB 00:00
aliyun-cli.x86_64 3.2.0-1.al8 alinux3-plus
bpftool.x86_64 5.10.134-19.2.al8 alinux3-plus
kernel.x86_64 5.10.134-19.2.al8 alinux3-plus
kernel-core.x86_64 5.10.134-19.2.al8 alinux3-plus
kernel-devel.x86_64 5.10.134-19.2.al8 alinux3-plus
kernel-headers.x86_64 5.10.134-19.2.al8 alinux3-plus
kernel-modules.x86_64 5.10.134-19.2.al8 alinux3-plus
kernel-modules-extra.x86_64 5.10.134-19.2.al8 alinux3-plus
kernel-modules-internal.x86_64 5.10.134-19.2.al8 alinux3-plus
kernel-tools.x86_64 5.10.134-19.2.al8 alinux3-plus
kernel-tools-libs.x86_64 5.10.134-19.2.al8 alinux3-plus
perf.x86_64 5.10.134-19.2.al8 alinux3-plus
python3-perf.x86_64 5.10.134-19.2.al8 alinux3-plus
quota.x86_64 1:4.09-4.0.1.al8 alinux3-updates
quota-nls.noarch 1:4.09-4.0.1.al8 alinux3-updates
Obsoleting Packages
kernel-headers.x86_64 5.10.134-19.2.al8 alinux3-plus
kernel-headers.x86_64 5.10.134-19.1.al8 @System
# yum upgrade
请问怎么解决:
系统:Ubuntu 22.04.5 LTS (Jammy Jellyfish) x86_64(Py3.7.8)
当前内核版本(6.8.0-65-generic)不支持使用堡塔入侵检测 Debian12
6.1.0-17-cloud-amd64
提示内核不支持,麻烦大大支持一下。 这个项目还在继续吗?之前不支持的内核是否支持了呢? 前排支持 杂货店 发表于 2023-5-26 12:46
前排支持,debian11支持不
debian11,我已经安装上了,具体还没真正体验怎么样? 杂货店 发表于 2023-5-26 12:46
前排支持,debian11支持不
支持的,只不过有少部分linux内核版本不支持而已 为什么那个开关老是自动关闭? manyu2018 发表于 2023-6-11 14:54
为什么那个开关老是自动关闭?
有没有弹出内核版本不支持的提示 您好,我的是5.19.0-1026-aws,可以对AWS内核支持吗,感谢 弹出内核版本不支持的提示,centos7.8,需要什么版本? 666的超哥 发表于 2023-6-15 12:03
您好,我的是5.19.0-1026-aws,可以对AWS内核支持吗,感谢
后续会逐渐增加支持的内核,目前已经支持接近4000个内核版本,敬请期待。 大成小事 发表于 2023-6-19 23:28
弹出内核版本不支持的提示,centos7.8,需要什么版本?
试试能不能升级内核到3.10.0-1160.el7.x86_64 系统:CentOS 7.9.2009 x86_64(Py3.7.9) ,弹出内核版本不支持的提示 检测到了带外攻击{:4_113:},想请教大家怎么处理,拜托各位了 堡塔开发CyberKid 发表于 2023-6-13 14:17
有没有弹出内核版本不支持的提示
经常自动关闭,没人任何错误提示,可以正常开启 总是自动关闭,打开后提示开启成功,关闭弹窗再打开又恢复到关闭状态 开关总是莫名其妙自动关闭,几乎是今天开启,明天就自己关闭了。