监测黑客入侵服务器的事件----【堡塔入侵检测】

堡塔入侵检测插件

更新日志

• 2.7 版本更新
  1.【优化】兼容最新内核版本
  2.【修复】修复部分规则匹配异常问题
  3.【修复】centos7-119内核系列不稳定问题
  

有任何建议和问题都欢迎在本贴下留言，也可进群709033027 @群主

一、功能介绍
通过在Linux内核态采集数据，实时的检测识别服务器上的恶意行为，例如反弹shell、权限提升、带外攻击等黑客入侵行为，并及时告警提醒。
支持绝大部分内核版本、linux发行版。
现已支持自动编译内核文件，解决了大部分内核不兼容问题，若无法正常使用，请执行下面指令，并修复一下插件即可，若无效，请截图发到讨论区

1. cd /www/server/panel/plugin/bt_hids/LKM/ && make

复制代码

二、使用方式
①打开堡塔入侵检测插件，点击【入侵检测开关】，即可开启入侵行为监测

②在【告警设置】配置接收告警信息平台，以便发现入侵行为，第一时间能收到通知并及时响应

③在插件【首页-告警内容】中点击【详情】，即可查看入侵行为的详细信息以及处理建议


④若某些正常行为被告警误报，可以点击【加白】，将该告警列入白名单

通过新增、修改、删除规则字段，来调整白名单，当下次匹配到加白规则的行为，则不会发送告警


⑥当入侵行为已被处理，可以点击【已处理】来删除该告警

三、入侵行为测试
1.socket型反弹shell
模拟黑客开启监听5566端口

被入侵主机进行反向连接

黑客主机接受连接并执行命令

堡塔入侵检测发现反弹shell连接并发送告警


根据【处理建议】执行命令，中断入侵行为


反弹shell进程已被杀死

2.7版本更新
1.【优化】兼容最新内核版本
2.【修复】修复部分规则匹配异常问题
3.【修复】centos7-119内核系列不稳定问题

入侵检测2.8 更新
1.【修复】首次安装启动失败问题
2.【优化】过滤掉一些常见的无用的进程信息
3.【新增】告警内容一键处理按钮
4.【兼容】OpenCloudOS 9系统

具体支持哪些内核？有没有个列表什么的

服务器是Alibaba Cloud 3（5.10 内核），“堡塔入侵检测”开始是正常可以开启的，在执行下述系统更新后，“堡塔入侵检测”提示：“当前内核版本(5.10.134-19.2.al8.x86_64)不支持使用堡塔入侵检测，更换内核版本参考：https://www.bt.cn/bbs/thread-113964-1-1.html”，无法开启“堡塔入侵检测”，如何解决
yum check-update
alinux3-os                                                                      112 kB/s | 3.8 kB     00:00   
alinux3-updates                                                                 195 kB/s | 4.1 kB     00:00   
alinux3-updates                                                                  79 MB/s |  35 MB     00:00   
alinux3-module                                                                  139 kB/s | 4.2 kB     00:00   
alinux3-plus                                                                    315 kB/s | 3.1 kB     00:00   
alinux3-plus                                                                     73 MB/s |  33 MB     00:00   
alinux3-powertools                                                              277 kB/s | 3.0 kB     00:00   
Extra Packages for Enterprise Linux 8 - x86_64                                  492 kB/s | 4.0 kB     00:00   
Extra Packages for Enterprise Linux 8 - x86_64                                   50 MB/s |  14 MB     00:00   
Extra Packages for Enterprise Linux Modular 8 - x86_64                          364 kB/s | 3.0 kB     00:00   

aliyun-cli.x86_64                                      3.2.0-1.al8                               alinux3-plus   
bpftool.x86_64                                         5.10.134-19.2.al8                         alinux3-plus   
kernel.x86_64                                          5.10.134-19.2.al8                         alinux3-plus   
kernel-core.x86_64                                     5.10.134-19.2.al8                         alinux3-plus   
kernel-devel.x86_64                                    5.10.134-19.2.al8                         alinux3-plus   
kernel-headers.x86_64                                  5.10.134-19.2.al8                         alinux3-plus   
kernel-modules.x86_64                                  5.10.134-19.2.al8                         alinux3-plus   
kernel-modules-extra.x86_64                            5.10.134-19.2.al8                         alinux3-plus   
kernel-modules-internal.x86_64                         5.10.134-19.2.al8                         alinux3-plus   
kernel-tools.x86_64                                    5.10.134-19.2.al8                         alinux3-plus   
kernel-tools-libs.x86_64                               5.10.134-19.2.al8                         alinux3-plus   
perf.x86_64                                            5.10.134-19.2.al8                         alinux3-plus   
python3-perf.x86_64                                    5.10.134-19.2.al8                         alinux3-plus   
quota.x86_64                                           1:4.09-4.0.1.al8                          alinux3-updates
quota-nls.noarch                                       1:4.09-4.0.1.al8                          alinux3-updates
Obsoleting Packages
kernel-headers.x86_64                                  5.10.134-19.2.al8                         alinux3-plus   
    kernel-headers.x86_64                              5.10.134-19.1.al8                         @System        
[root@0i2z1gkh2eh~]# yum upgrade

请问怎么解决：
系统：Ubuntu 22.04.5 LTS (Jammy Jellyfish) x86_64(Py3.7.8)
当前内核版本(6.8.0-65-generic)不支持使用堡塔入侵检测

Debian12
6.1.0-17-cloud-amd64

提示内核不支持，麻烦大大支持一下。

这个项目还在继续吗？之前不支持的内核是否支持了呢？

宝塔用户_ojydci 发表于 2026-1-17 01:05
现在我装的2.7，2.7正常的。

最近宝塔升级后，我安装了2.7，然后再升级到2.8，就正常了。

OpenCloudOS 9.4 x86_64(Py3.7.16) 内核不支持

宝塔用户_ojydci 发表于 2026-1-15 01:02
debian12安装2.8 更新后，它打开后又会自动关闭，修复、重装都没用。

现在我装的2.7，2.7正常的。

debian12安装2.8 更新后，它打开后又会自动关闭，修复、重装都没用。

这个怎么解决

当前内核版本(6.6.98-38.oc9.x86_64)不支持使用堡塔入侵检测，更换内核版本参考：https://www.bt.cn/bbs/thread-113964-1-1.html

Ubuntu当前内核版本(6.8.0-87-generic)不支持使用堡塔入侵检测，希望开发大大支持一次

KKal 发表于 2026-1-2 16:58
同样情况，而且宝塔防火墙现在不能开，开的话CPU占用超过60%，时间长点服务器就卡死了 ...

更新到最新版就正常了

宝塔用户_uqjtxz 发表于 2025-12-13 23:35
服务器是Alibaba Cloud 3（5.10 内核），“堡塔入侵检测”开始是正常可以开启的，在执行下述系统更新后，“ ...

同样情况，而且宝塔防火墙现在不能开，开的话CPU占用超过60%，时间长点服务器就卡死了

Alibaba 3
当前内核版本(5.10.134-19.2.al8.x86_64)不支持使用堡塔入侵检测，，已经尝试过上面的办法，还是依旧不支持

当前内核版本(6.6.117-45.1.oc9.x86_64)不支持使用堡塔入侵检测，更换内核版本参考：
https://www.bt.cn/bbs/thread-113964-1-1.html

腾讯云，OpenCloudOS 9.4 x86_64(Py3.7.16)内核不支持吗？请问一下怎么升级内核

当前内核版本(6.6.117-45.oc9.x86_64)不支持使用堡塔入侵检测，更换内核版本参考：
https://www.bt.cn/bbs/thread-113964-1-1.html

当前内核版本(6.12.38+deb13-amd64)不支持使用堡塔入侵检测