yulong-hids-archived
yulong-hids-archived copied to clipboard
ysrc
[archived] 一款实验性质的主机入侵检测系统
只需要对数据处理部分代码进行稍微的修改即可适应于特定的场景并进行机器学习训练,当然自定义算法更好。每次训练均采用不同的算法进行比对。
udp 0 0 0.0.0.0:54632 0.0.0.0:* 30178/agent 你好,客户端启动后默认会对外开放一个随机端口,如何将其限制在内网ip?
环境:win server 2008 r2 先安装了agent,而后安装的iis7.5 出现了w3wp.exe的进程,在主机的详细信息里的进程列表里也出现了w3wp.exe的进程。 但是面板的上没有对这台服务器打上web的标签。我看了下代码,如果不打web标签的话,是不会监控web目录的。
在 agent insmod 引起的   ``` Apr 12 19:25:59 test kernel: [ 148.067042] Start found sys_call_table. Apr 12 19:25:59 test kernel: [ 148.068545] Found the sys_call_table!!! __NR_close[3] sys_close[ffffffff81210e40] Apr...
如下为 web 的提示 2018/04/11 09:52:20 ^[[1;31m[E] [notice.go:95] Model UpdateAll E11000 duplicate key error collection: agent.notice index: ip_1_info_1_type_1_status_1_uptime_1 dup key: { : "10.2.13.2", : "/bin/bash", : "process", : 1, : null...
  除非需要接威胁情报,驭龙整套系统都没有外连ip的需求。 上图ip对应为pypi.python.org用的cdn节点,用户确实那段时间有pip install。 初步怀疑关联错了,待复现诊断。
外连监控 
centos6 centos7 内核版本 2.6.32-696.23.1.el6.x86_64 3.10.0-693.21.1.el7.x86_64 直接使用的release中的驱动。 
用的是release里面data.zip带的驱动 kernel版本 Linux mt-pi.office.mos 2.6.32-431.20.3.el6.mt20140703.x86_64 insmod syshook_execve.ko 返回 insmod: error inserting 'syshook_execve.ko': -1 Unknown symbol in module 驱动无法正常加载。