监测黑客入侵服务器的事件----【堡塔入侵检测】
堡塔入侵检测插件有任何建议和问题都欢迎在本贴下留言https://www.bt.cn/bbs/static/image/smiley/comcom/5.gif
一、功能介绍
通过在Linux内核态采集数据,实时的检测识别服务器上的恶意行为,例如反弹shell、权限提升、带外攻击等黑客入侵行为,并及时告警提醒。
支持绝大部分内核版本、linux发行版。
现在已经支持自动编译内核文件,解决了大部分内核不兼容问题
二、使用方式
①打开堡塔入侵检测插件,点击【入侵检测开关】,即可开启入侵行为监测
②在【告警设置】配置接收告警信息平台,以便发现入侵行为,第一时间能收到通知并及时响应
③在插件【首页-告警内容】中点击【详情】,即可查看入侵行为的详细信息以及处理建议
④若某些正常行为被告警误报,可以点击【加白】,将该告警列入白名单
通过新增、修改、删除规则字段,来调整白名单,当下次匹配到加白规则的行为,则不会发送告警
⑥当入侵行为已被处理,可以点击【已处理】来删除该告警
三、入侵行为测试
1.socket型反弹shell
模拟黑客开启监听5566端口
被入侵主机进行反向连接
黑客主机接受连接并执行命令
堡塔入侵检测发现反弹shell连接并发送告警
根据【处理建议】执行命令,中断入侵行为
反弹shell进程已被杀死
Debian12
6.1.0-17-cloud-amd64
提示内核不支持,麻烦大大支持一下。 具体支持哪些内核?有没有个列表什么的 前排支持 杂货店 发表于 2023-5-26 12:46
前排支持,debian11支持不
debian11,我已经安装上了,具体还没真正体验怎么样? 杂货店 发表于 2023-5-26 12:46
前排支持,debian11支持不
支持的,只不过有少部分linux内核版本不支持而已 为什么那个开关老是自动关闭? manyu2018 发表于 2023-6-11 14:54
为什么那个开关老是自动关闭?
有没有弹出内核版本不支持的提示 您好,我的是5.19.0-1026-aws,可以对AWS内核支持吗,感谢 弹出内核版本不支持的提示,centos7.8,需要什么版本? 666的超哥 发表于 2023-6-15 12:03
您好,我的是5.19.0-1026-aws,可以对AWS内核支持吗,感谢
后续会逐渐增加支持的内核,目前已经支持接近4000个内核版本,敬请期待。 大成小事 发表于 2023-6-19 23:28
弹出内核版本不支持的提示,centos7.8,需要什么版本?
试试能不能升级内核到3.10.0-1160.el7.x86_64 系统:CentOS 7.9.2009 x86_64(Py3.7.9) ,弹出内核版本不支持的提示 检测到了带外攻击{:4_113:},想请教大家怎么处理,拜托各位了 堡塔开发CyberKid 发表于 2023-6-13 14:17
有没有弹出内核版本不支持的提示
经常自动关闭,没人任何错误提示,可以正常开启 总是自动关闭,打开后提示开启成功,关闭弹窗再打开又恢复到关闭状态 开关总是莫名其妙自动关闭,几乎是今天开启,明天就自己关闭了。