关于反弹shell及生产环境部署安全性问题

[wcc526]

AgentSmith-HIDS 的定位就是一款轻量级，高性能的情报采集工具，首先可以检测如:反弹shell，执行可以命令，下载恶意程序，一些Rootkit等等NIDS的死角。其次可以和NIDS/CMDB完成联动，达到：PID+PPID+nodename+cmdline+cwd+user+exe+TCP/UDP五元组+部分协议的原始数据+业务相关信息+FW_RULE+NIDS/HIDS规则ID+威胁情报信息的联动效果。

初步看了下代码 https://github.com/DianrongSecurity/AgentSmith-HIDS/blob/master/agent/src/main.rs#L84

目前agent大致逻辑是解析syscall直接发送到kafka

这个目前elastic已经有一个类似的项目叫auditbeat，实现的也是类似效果 https://www.elastic.co/guide/en/beats/auditbeat/current/auditbeat-installation.html

相关建议

• 不建议生产环境中 agent数据投递不经鉴权直接投递kakfa,如果黑客入侵一台机器，就可以伪造消息,而且可以攻击数据接收服务器
• 反弹shell的逻辑建议在本地agent进行检测,直接关联进程及socket信息， 本地检测速度快,我们这边经实际攻防测试，能检测绝大多数的反弹shell, syscall 和nids关联听起来很美，但如果机器数量多的话，实际数据量极大，不具备可行性。

参考链接

• https://www.freebuf.com/articles/system/187584.html
• https://mp.weixin.qq.com/s?__biz=MzI5ODE0ODA5MQ==&mid=2652278266&idx=1&sn=7b2f89643afaa22527644774a77b297b&chksm=f748646ec03fed78e4fea7d198257ecaa64d1182e8a65c34dd7654c6f4fa21181abd4a0c95de#rd

[EBWi11]

@wcc526 auditbeat的是我们最早准备使用的东西，其实也是利用了linux auditd，关于这个问题请移步： https://github.com/DianrongSecurity/AgentSmith-HIDS/issues/1

关于kafka鉴权的问题，我们实际使用会对接内部的配置中心完成鉴权等操作。

关于反弹shell等问题，其实检测思路和你们一致，只不过是检测位置的问题。

关于联动的问题，“syscall 和nids关联听起来很美，但如果机器数量多的话，实际数据量极大，不具备可行性。” 这里我们内部已经在做一些尝试和实验，实际上我们要关联的是：NIDS+HIDS+FW+CMDB+威胁情报，实际上在这里我们就差HIDS，因此我们相信这不会是"不具备可行性"