监测黑客入侵服务器的事件----【堡塔入侵检测】

堡塔入侵检测插件

有任何建议和问题都欢迎在本贴下留言

一、功能介绍
通过在Linux内核态采集数据，实时的检测识别服务器上的恶意行为，例如反弹shell、权限提升、带外攻击等黑客入侵行为，并及时告警提醒。
支持绝大部分内核版本、linux发行版。
现在已经支持自动编译内核文件，解决了大部分内核不兼容问题

二、使用方式
①打开堡塔入侵检测插件，点击【入侵检测开关】，即可开启入侵行为监测

②在【告警设置】配置接收告警信息平台，以便发现入侵行为，第一时间能收到通知并及时响应

③在插件【首页-告警内容】中点击【详情】，即可查看入侵行为的详细信息以及处理建议


④若某些正常行为被告警误报，可以点击【加白】，将该告警列入白名单

通过新增、修改、删除规则字段，来调整白名单，当下次匹配到加白规则的行为，则不会发送告警


⑥当入侵行为已被处理，可以点击【已处理】来删除该告警

三、入侵行为测试
1.socket型反弹shell
模拟黑客开启监听5566端口

被入侵主机进行反向连接

黑客主机接受连接并执行命令

堡塔入侵检测发现反弹shell连接并发送告警


根据【处理建议】执行命令，中断入侵行为


反弹shell进程已被杀死

Debian12
6.1.0-17-cloud-amd64

提示内核不支持，麻烦大大支持一下。

是子昔 发表于 2024-6-3 11:40
当前内核版本(6.1.0-20-amd64)不支持使用堡塔入侵检测，这个内核能支持吗

是2.0版本的吗？

当前内核版本(6.1.0-20-amd64)不支持使用堡塔入侵检测，这个内核能支持吗

Aeolus 发表于 2024-5-18 00:51
3.10.0-1160.118.1.el7.x86_64
这个版本的内核支持吗？

支持的，装2.0版本就好了

请问6.7.6-1.el8.elrepo.x86_64什么时候进行支持呀

3.10.0-1160.118.1.el7.x86_64
这个版本的内核支持吗？

蹦极的考虑 发表于 2024-5-14 09:43
开启之后，回来刷新看依旧是关闭状态，目前是2.1版本。

加一下我QQ3494636643，排查一下问题

开启之后，回来刷新看依旧是关闭状态，目前是2.1版本。

堡塔开发CyberKid 发表于 2024-4-24 10:45
更新到最新版试试

堡塔入侵检测 2.1
当前已经安装最新版本

宝塔用户_ukjyvw 发表于 2024-4-23 22:57
当前内核版本(3.10.0-1160.114.2.el7.x86_64)不支持使用堡塔入侵检测，更换内核版本参考：https://www.bt.c ...

入侵检测是2.1版本吗

ehxz 发表于 2024-4-9 08:40
系统安装成功，但不能启用：
Debian GNU/Linux 11 (bullseye) x86_64(Py3.7.9)
希望更新支持，谢谢。

更新到最新版试试

当前内核版本(3.10.0-1160.114.2.el7.x86_64)不支持使用堡塔入侵检测，更换内核版本参考：https://www.bt.cn/bbs/thread-113964-1-1.html  

系统安装成功，但不能启用：
Debian GNU/Linux 11 (bullseye) x86_64(Py3.7.9)
希望更新支持，谢谢。
当前内核版本(5.10.0-26-amd64)不支持使用堡塔入侵检测，更换内核版本参考：
https://www.bt.cn/bbs/thread-113964-1-1.html

堡塔开发CyberKid 发表于 2024-3-26 15:45
在软件商店右上角有个更新软件列表的按钮，点了之后就能看到2.1版本了

  我都是过两天，它就自动出现了

Debian 11好像不支持！！

myboss 发表于 2024-3-25 21:10
宝塔现在只能安装 1.10版本，安装不了2.1

在软件商店右上角有个更新软件列表的按钮，点了之后就能看到2.1版本了