B0bTheSkull/loghound

# LogHound 🐾    ## 功能介绍 LogHound 解析原始日志文件，并应用检测逻辑，以发现在大量日志噪音中常被忽略的可疑模式。 **身份验证日志检测 (`/var/log/auth.log`)：** - 🔴 SSH 暴力破解攻击（阈值可配置） - 🔴 多次失败后成功登录（撞库攻击） - 🔴 通过 `sudo` 和 `su` 进行权限提升 - 🔴 新建用户账户 - 🟡 非工作时间登录（08:00–18:00 之外） **Web 日志检测 (nginx/apache 访问日志)：** - 🔴 已知扫描器 User-Agents (Nikto、sqlmap、nuclei、dirbuster 等) - 🔴 敏感文件/路径探测（`.env`、`.git`、`wp-config.php` 等） - 🔴 404 激增模式（目录枚举） - 🟡 单个 IP 的高请求量 ## 安装说明 ``` git clone https://github.com/B0bTheSkull/loghound.git cd loghound pip install -r requirements.txt ``` ## 运行 Naabu ``` # 分析 auth log (SSH 暴力破解、priv esc 等) python loghound.py --log auth --file /var/log/auth.log # 使用 sample files 进行测试 python loghound.py --log auth --file samples/sample_auth.log # 调整 brute force 阈值 (默认: 5 次失败尝试) python loghound.py --log auth --file /var/log/auth.log --threshold 3 # 仅查看过去 24 小时 python loghound.py --log auth --file /var/log/auth.log --since 24h # 分析 nginx/apache access logs python loghound.py --log web --file /var/log/nginx/access.log # 写入 JSON report python loghound.py --log auth --file samples/sample_auth.log --output report.json # 无颜色输出 (用于 piping/scripting) python loghound.py --log auth --file /var/log/auth.log --no-color | tee report.txt ``` ## 示例输出 ``` ╔══════════════════════════════════════╗ ║ LogHound v1.0 ║ ║ Log Anomaly Detection Engine ║ ╚══════════════════════════════════════╝ [*] Analyzed: samples/sample_auth.log [*] Log type: AUTH [*] Timestamp: 2024-01-15 14:32:01 [!] 5 finding(s) detected: [CRITICAL] 1 [HIGH] 4 ──────────────────────────────────────────────────────────── [CRITICAL] BRUTE FORCE SUCCESS Detail: SUCCESSFUL login from 185.220.101.45 after 8 failures — possible credential stuffing Source ip: 185.220.101.45 Username: ubuntu Failed before: 8 [HIGH] BRUTE FORCE Detail: 8 failed SSH login attempts from 185.220.101.45 Source ip: 185.220.101.45 Attempt count: 8 Usernames tried: root, admin, ubuntu [HIGH] SUSPICIOUS SUDO Detail: High-risk sudo command executed by ubuntu Username: ubuntu Command: /bin/bash [HIGH] USER CREATED Detail: New user account created: h4x0r Username: h4x0r [HIGH] ROOT SU Detail: User ubuntu switched to root via su Username: ubuntu ``` ## JSON 报告 ``` { "generated_at": "2024-01-15T14:32:01", "log_type": "auth", "log_file": "samples/sample_auth.log", "threshold": 5, "total_findings": 5, "findings": [ { "severity": "CRITICAL", "type": "brute_force_success", "source_ip": "185.220.101.45", "username": "ubuntu", "failed_before": 8, "detail": "SUCCESSFUL login from 185.220.101.45 after 8 failures" } ] } ``` ## 支持的日志格式 | 格式 | 示例路径 | |--------|-------------| | `auth.log` (Debian/Ubuntu) | `/var/log/auth.log` | | `secure` (RHEL/CentOS) | `/var/log/secure` | | nginx combined access log | `/var/log/nginx/access.log` | | Apache combined access log | `/var/log/apache2/access.log` | ## MITRE ATT&CK 覆盖范围 LogHound 的检测映射到以下 MITRE ATT&CK 技术。这使得将输出轻松整合到基于技术 ID 进行数据透视的 SIEM（如 Splunk ES、Sentinel、Wazuh 等）中变得非常容易。 ### 身份验证日志检测 | 检测项 | 战术 | 技术 | |---|---|---| | SSH 暴力破解 | 凭证访问 | [T1110.001 — 密码猜测](https://attack.mitre.org/techniques/T1110/001/) | | 多次失败后登录 | 凭证访问 | [T1110.004 — 撞库攻击](https://attack.mitre.org/techniques/T1110/004/) | | 通过 `sudo` 权限提升 | 权限提升 | [T1548.003 — Sudo 和 Sudo 缓存](https://attack.mitre.org/techniques/T1548/003/) | | 通过 `su` 权限提升 | 权限提升 | [T1548 — 滥用提升控制机制](https://attack.mitre.org/techniques/T1548/) | | 新建用户账户 | 持久化 | [T1136.001 — 本地账户](https://attack.mitre.org/techniques/T1136/001/) | | 非工作时间登录 | 防御规避 | [T1078 — 有效账户](https://attack.mitre.org/techniques/T1078/) (异常) | ### Web 日志检测 | 检测项 | 战术 | 技术 | |---|---|---| | 扫描器 User-Agents (Nikto、sqlmap、nuclei、dirbuster) | 侦察 | [T1595.002 — 漏洞扫描](https://attack.mitre.org/techniques/T1595/002/) | | 敏感文件探测 (`.env`、`.git`、`wp-config.php`) | 发现 | [T1083 — 文件和目录发现](https://attack.mitre.org/techniques/T1083/) | | 404 激增 (目录枚举) | 发现 | [T1595 — 主动扫描](https://attack.mitre.org/techniques/T1595/) | | 单个 IP 的高请求量 | 侦察 | [T1595 — 主动扫描](https://attack.mitre.org/techniques/T1595/) | ## 路线图 - [ ] Windows Event Log (EVTX) 支持 - [ ] Syslog 转发集成 - [ ] Slack/webhook 告警 - [ ] 监控模式 (`--watch`) 用于实时追踪 - [x] MITRE ATT&CK 技术标签 ## 贡献指南 欢迎提交 Pull requests。如有重大更改，请先开一个 issue。 ## 许可证 MIT — 详情请见 [LICENSE](LICENSE)

标签：Apache, CSV导出, IP 地址批量处理, LogHound, MIT许可, Nginx, Python, SSH安全, Web安全, 免杀技术, 凭证填充, 协议分析, 安全扫描器识别, 密码管理, 异常检测, 数字调查, 无后门, 暴力破解检测, 权限提升, 蓝队分析, 路径枚举, 逆向工具