diff --git a/docs/1-4-scene.md b/docs/1-4-scene.md new file mode 100644 index 0000000..cdd57c6 --- /dev/null +++ b/docs/1-4-scene.md @@ -0,0 +1,43 @@ + +### 应用场景 + + > **内网失陷检测场景** + + 该场景是蜜罐在企业环境 **最常见** 的使用方法,用来捕捉内网已经失陷、勒索软件和恶意行为,重点在于 **敏捷准确**,具体可细分为 **内部办公场景** 和 **内部IDC场景**, + + **内部办公场景** + + 蜜罐被部署在企业内部办公网区,用于 **感知内网失陷主机、勒索软件扫描或恶意员工内网刺探行为** ,常见模板可设置为监听tcp/135、139、445和3389等服务。 + + **内部服务器场景** + + 蜜罐被部署在企业内部服务器区,用于 **感知内网失陷和横向移动**,常见模板可以设置文模拟Web、MySQL、Redis、Elasticsearch、SSH、Telnet等服务。 + + + > **外网风险感知和情报生产场景** + + 该场景一般是将节点部署在互联网区,用来感知互联网来自自动化蠕虫、竞争对手和境外的 **真实威胁**,甚至发现针对客户的 **0day攻击**,通过和具有情报生产能力的 **情报平台** 对接,可以稳定准确的**生产私有威胁情报**。 + + 另外,需要注意,该场景会捕捉到 **大量真实攻击行为** ,在部署蜜罐之前建议将蜜罐加入网络检测设备白名单中避免产生误报。 + + > **云环境风险感知场景** + + 由于云环境特殊性,云上匮乏流量检测类安全产品,此外企业防守者需要频繁切换查看本地安全设备的告警与云端有限安全设备的告警。 + + 而通过在云端部署蜜罐产品,应用蜜罐吸引部分攻击,保护真实业务服务,并且企业防守者可以通过蜜罐感知到云上攻击的强度和方式,不至于对安全现状一无所知,最后通过蜜罐产品的API和本地态势感知或检测设备打通,可以通过一个平台统一管理。 + + + > **员工账号密码资产遗失感知场景** + + 由于各种原因,员工账号密码资产遗失对于企业来说都是致命隐患,安全团队如何感知是当下一个空白。 + + 企业可将常见的对外服务例如vpn.company.com或hr.company.com替换成蜜罐,通过监控试图登录的账号判断是否为内部员工账号,并实时通知安全团队和该员工,敦促其尽快修改密码。 + + + > **企业安全意识培训场景** + + 在企业安全工作中,员工安全意识问题常常被忽略,而对于攻击者,搜集员工信箱批量发送钓鱼或木马病毒链接只要有一个成功即可突破辛苦构建的企业安全防线。 + + 使用开源的钓鱼邮件工具和Web蜜罐自定义能力,可以快速、低成本的组装企业安全意识培训平台。 + + \ No newline at end of file diff --git a/docs/8-3-resetpwd.md b/docs/8-3-resetpwd.md new file mode 100644 index 0000000..3b0ee84 --- /dev/null +++ b/docs/8-3-resetpwd.md @@ -0,0 +1,11 @@ + +### 密码重置 + + 登录控制端主机,在server进程同目录会看到tools可执行程序,该程序可以重置指定用户的密码。 + + > 重置admin用户的密码 + + ```shell + root@HFish~# ./tools resetpwd admin + reset admin password success. + ``` \ No newline at end of file diff --git a/docs/_sidebar.md b/docs/_sidebar.md index 02431dc..c362ad7 100644 --- a/docs/_sidebar.md +++ b/docs/_sidebar.md @@ -1,8 +1,8 @@ - HFish介绍 - [什么是蜜罐](1-1-honeypot) - - [使用场景](1-4-honeypot) - [HFish特点](1-2-spec) - [HFish原理](1-3-workflow) + - [应用场景](1-4-scene) - 快速开始 - [环境要求](2-1-env) - [Linux](2-2-linux) @@ -31,6 +31,7 @@ - [系统信息](7-2-info) - 进阶应用 - [测试样例](8-1-demo) + - [密码重置](8-3-resetpwd) - [错误排查](8-2-debug) - [卸载蜜罐](uninstall) - [已知问题](known) diff --git a/docs/uninstall.md b/docs/uninstall.md index 21f3ba8..4399df4 100644 --- a/docs/uninstall.md +++ b/docs/uninstall.md @@ -6,48 +6,48 @@ ```shell # 结束server进程 -root@HFish~$ ps ax | grep ./server | grep -v grep +root@HFish~# ps ax | grep ./server | grep -v grep 8435 ? Sl 97:59 ./server -root@HFish:~$ sudo kill -9 8435 +root@HFish:~# kill -9 8435 ``` 2. 删除server文件夹 ```shell # 使用install.sh安装的HFish会被部署到/opt/hfish目标,删除即可 -root@HFish~$ sudo rm -rf /opt/hfish +root@HFish~# rm -rf /opt/hfish ``` 3. 清理数据库(如果使用的是SQLite数据库请忽略) ```shell # 删除HFish数据库 -root@HFish:~$ mysql -h127.0.0.1 -uroot -p +root@HFish:~# mysql -h127.0.0.1 -uroot -p Enter password:*******(默认密码详见config.ini配置文件) mysql> DROP DATABASE hfish; # 停止MySQL服务 -root@HFish:~$ sudo systemctl stop mysqld -root@HFish:~$ sudo systemctl disable mysqld +root@HFish:~# systemctl stop mysqld +root@HFish:~# systemctl disable mysqld ``` 4. 还原SSH和Firewall配置 ```shell # 清除SSH config内对于访问来源的限制 -root@HFish~$ sudo vi /etc/ssh/sshd_config +root@HFish~# vi /etc/ssh/sshd_config 注释掉以 AllowUsers root@ 开头的行 # 重启SSH服务 -root@HFish~$ sudo systemctl restart sshd +root@HFish~# systemctl restart sshd # 清除Firewall服务的规则(请根据实际情况删除!) -root@HFish~$ sudo firewall-cmd --permanent --list-all | grep ports | head -n 1 | \ +root@HFish~# firewall-cmd --permanent --list-all | grep ports | head -n 1 | \ cut -d: -f2 | tr ' ' '\n' | xargs -I {} firewall-cmd --permanent --remove-port={} # 重启Firewall服务 -root@HFish~$ sudo systemctl restart firewalld +root@HFish~# systemctl restart firewalld ``` @@ -58,7 +58,7 @@ root@HFish~$ sudo systemctl restart firewalld ```shell # 结束 client 和 services 进程 -root@HFish~$ ps ax | grep -E 'services|./client' | grep -v grep +root@HFish~# ps ax | grep -E 'services|./client' | grep -v grep 10506 ? Sl 134:20 ./client 1685739 ? Sl 0:00 services/mysql/mysql 0.0.0.0:3306 true 1685743 ? Sl 0:00 services/redis/redis 0.0.0.0:6379 true @@ -66,35 +66,35 @@ root@HFish~$ ps ax | grep -E 'services|./client' | grep -v grep 1685751 ? Sl 0:00 services/ftp/ftp 0.0.0.0:21 true 1685755 ? Sl 0:00 services/es/es 0.0.0.0:9200 true -root@HFish:~$ sudo kill -9 10506 1685739 1685743 1685747 1685751 1685755 +root@HFish:~# kill -9 10506 1685739 1685743 1685747 1685751 1685755 ``` 2. 删除client文件夹 ```shell # 使用 install.sh 安装的 HFish 会被部署到/opt/hfish目标,删除即可 -root@HFish~$ sudo rm -rf /opt/hfish +root@HFish~# rm -rf /opt/hfish ``` 3. 还原SSH和Firewall配置 ```shell # 还原默认SSH端口 -root@HFish~$ sudo vi /etc/ssh/sshd_config +root@HFish~# vi /etc/ssh/sshd_config - 把 Port 22122 注释掉或修改为默认的22 # 清除SSH config内对于访问来源的限制 -root@HFish~$ sudo vi /etc/ssh/sshd_config +root@HFish~# vi /etc/ssh/sshd_config 注释掉以 AllowUsers root@ 开头的行 # 重启SSH服务 -root@HFish~$ sudo systemctl restart sshd +root@HFish~# systemctl restart sshd # 清除Firewall服务规则(请根据实际情况删除!) -root@HFish~$ sudo firewall-cmd --permanent --list-all | grep ports | head -n 1 | \ +root@HFish~# firewall-cmd --permanent --list-all | grep ports | head -n 1 | \ cut -d: -f2 | tr ' ' '\n' | xargs -I {} firewall-cmd --permanent --remove-port={} # 重启Firewall服务 -root@HFish~$ sudo systemctl restart firewalld +root@HFish~# systemctl restart firewalld ```