pagzlol/homelab-security-research

# Troy | 家庭实验室安全研究   本仓库展示了我个人家庭实验室中构建并运行的安全工作：检测、蜜罐监控、攻击面检查、恶意软件分析笔记以及事件响应。 所有内容均基于真实运行环境。其中包括 2026 年 3 月发生的一次真实入侵事件，我对该事件进行了完整的调查与记录。我保留了这些内容，因为我希望这个仓库能展示我的实际工作方式，而不仅仅是完美的成果。 ## 从这里开始 - [NINGI-WRITEUP-007](writeups/NINGI-WRITEUP-007-what-i-rebuilt-after-the-znc-compromise.md) - 重构笔记、当前技术栈以及我保留入侵记录的原因 - [NINGI-WRITEUP-006](writeups/NINGI-WRITEUP-006-znc-webadmin-compromise-cryptominer.md) - 事件响应、根本原因分析、重构经验 - [NINGI-WRITEUP-001](writeups/NINGI-WRITEUP-001-honeytoken-detection.md) - 使用 auditd、Wazuh 进行检测工程及告警 - [NINGI-2026-001](security-findings/NINGI-2026-001-siem-log-injection.md) - 我如何发现、测试并修复 SIEM 日志问题 - [NINGI-WRITEUP-003](writeups/NINGI-WRITEUP-003-attack-surface-monitoring.md) - 我如何从外部检查实验室 ## 本仓库展示的内容 - 针对 honeytoken、可疑活动和公开暴露变更的自定义 Wazuh 检测规则 - 捕获真实攻击者流量的 Cowrie SSH 蜜罐运行 - 用于告警、日常摘要和外部检查的 Python 和 Shell 工具 - 来自捕获的 payload 及其源的恶意软件分析笔记 - 一次真实主机入侵事件及其后续重构的完整报告 ## 仓库内容 ### 安全发现 - [NINGI-2026-001](security-findings/NINGI-2026-001-siem-log-injection.md) - 通过 IPv6 UDP syslog 进行的 SIEM 日志注入 - [NINGI-2026-002](security-findings/NINGI-2026-002-ssh-tunnel-relay-c2.md) - SSH 隧道中继滥用与 CDN 前置的 C2 信标通信 - [NINGI-2026-003](security-findings/NINGI-2026-003-znc-ipv6-exposure.md) - 导致 2026 年 3 月入侵事件的 ZNC webadmin IPv6 暴露漏洞 - [NINGI-2026-004](security-findings/NINGI-2026-004-ssh-dns-tunnel-via-direct-tcpip.md) - 滥用 SSH direct-tcpip 作为 DNS 出口代理；通过无 shell 隧道连接至 1.1.1.1:53 ### 技术文档 - [NINGI-WRITEUP-008](writeups/NINGI-WRITEUP-008-kamado-joe-api-reverse-engineering.md) - Kamado Joe Konnected IoT API 逆向工程与云端控制笔记 - [NINGI-WRITEUP-007](writeups/NINGI-WRITEUP-007-what-i-rebuilt-after-the-znc-compromise.md) - ZNC 入侵事件后我所做的重构 - [NINGI-WRITEUP-001](writeups/NINGI-WRITEUP-001-honeytoken-detection.md) - honeytoken 检测系统 - [NINGI-WRITEUP-002](writeups/NINGI-WRITEUP-002-cowrie-attack-patterns.md) - Cowrie SSH 蜜罐攻击模式分析 - [NINGI-WRITEUP-003](writeups/NINGI-WRITEUP-003-attack-surface-monitoring.md) - 自动化攻击面监控 - [NINGI-WRITEUP-004](writeups/NINGI-WRITEUP-004-mirai-dropper-ssh-persistence.md) - Mirai 投递器与 SSH 持久化分析 - [NINGI-WRITEUP-005](writeups/NINGI-WRITEUP-005-irc-botnet-worm-analysis.md) - IRC 僵尸网络蠕虫源码与行为分析 - [NINGI-WRITEUP-006](writeups/NINGI-WRITEUP-006-znc-webadmin-compromise-cryptominer.md) - ZNC webadmin 入侵与加密货币挖矿程序部署 - [NINGI-WRITEUP-009](writeups/NINGI-WRITEUP-009-krane-botnet-go-cryptominer.md) - krane 僵尸网络，一个包含罗马尼亚线索的 Go 语言 SSH 传播器和 Monero 挖矿程序 ([IOC](writeups/NINGI-WRITEUP-009-krane-botnet-iocs.md)) - [NINGI-WRITEUP-010](writeups/NINGI-WRITEUP-010-tor-container-fingerprint-probe.md) - Tor 路由的 Go 语言扫描器，通过 `/proc/1/` 执行容器/虚拟机指纹识别，并使用纳秒级会话关联 token - [NINGI-WRITEUP-011](writeups/NINGI-WRITEUP-011-mdrfckr-hardware-probe.md) - mdrfckr SSH 密钥注入，包含硬件检查、清理竞争恶意软件以及轮换主机 - [NINGI-WRITEUP-012](writeups/NINGI-WRITEUP-012-go-dual-branch-scanner-solana-targeting.md) - Go 语言扫描器，检查 base64、收集架构信息，并针对弱 Solana 验证器密码进行攻击 ### 工具 - [`tools/wazuh_realtime.py`](tools/wazuh_realtime.py) - 基于 OpenSearch / Wazuh 数据的 Discord 告警工具 - [`tools/wazuh_digest.py`](tools/wazuh_digest.py) - 日常告警摘要 - [`tools/recon/`](tools/recon) - 侦察脚本和 Wazuh 规则支持 ## 当前状态 原始节点已于 2026-03-22 关停，起因是 [NINGI-WRITEUP-006](writeups/NINGI-WRITEUP-006-znc-webadmin-compromise-cryptominer.md) 中记录的入侵事件。随后，这些节点被重新构建，具有更明确的角色划分和更完善的检查机制。 重构后的技术栈现已分布在 Argus、Fuji 和 Margo-1 上。每台主机都有更明确的职责，Fuji 负责检查互联网可见的内容，而我通过验证监听器和机密信息来代替单纯信任配置文件。 我得到的主要经验很简单：我不会再假设服务仅在我预期的地址上监听。在任何服务变更后，我都会运行 `ss -tnlp` 并验证真实的绑定地址，然后才会信任其配置。 ## 品牌资产 - 主要头像：[`assets/ningi-avatar.png`](assets/ningi-avatar.png) - 备用头像源：[`assets/ningi-avatar.svg`](assets/ningi-avatar.svg) - 个人资料横幅 / 仓库标题：[`assets/ndl-banner.svg`](assets/ndl-banner.svg) 由 Troy 在澳大利亚昆士兰州构建并编写文档。

标签：auditd, Cutter, DAST, Homelab, Python, Shell脚本, SSH隧道, URL发现, Wazuh, Webadmin, Writeup, 代理支持, 入侵分析, 加密货币劫持, 告警, 命令与控制, 安全事件响应, 安全报告, 安全检测, 审计, 家庭实验室, 库, 应急响应, 恶意软件分析, 提示词模板, 无后门, 日志安全, 日志注入, 漏洞分析, 网络安全, 蜜标, 蜜罐, 证书利用, 路径探测, 逆向工具, 隐私保护