WinterGate-IC/wintergate

GitHub: WinterGate-IC/wintergate

WinterGate IC 是一个基于 OSINT 和蜜罐遥测的会员制威胁情报与社区防御安全集体,通过自动化检测、日志监控和 Discord 安全机器人帮助社区识别并防御网络威胁行为者。

Stars: 0 | Forks: 0

# WinterGate Intelligence Collective **阴影止步之处,便是众人屹立之地。** WinterGate IC 是一个私有的、基于会员制的安全与情报集体。我们利用开源情报 (OSINT) 和 honeypot 遥测技术来研究网络滥用、追踪威胁行为者,并帮助社区进行防御。不进行非法监视,不进行黑客攻击,不进行欺骗。 成立于 2025 年 4 月 9 日。 ## 运营原则 1. **仅限 OSINT** — 所有情报均来自公开来源、honeypot 遥测和用户提交的报告。不进行任何非法活动。 2. **隐私优先** — 永不记录或追踪普通用户。仅记录攻击我们基础设施的攻击者。 3. **拒绝作秀** — 不进行公开曝光或表演性行动。我们的工作安静且有分寸。 4. **克制应对** — 所有应对措施均合法、透明,且仅限于审查公开信息和分享实用建议。 5. **社区防御** — 我们的目标是保护安全的数字空间,而不是惩罚恶意行为者。 ## 活跃服务 ### Honeypot 网络 在端口 8899 上的一个低交互 HTTP tarpit,用于捕获端口扫描器、爬虫和自动化攻击者。 - 通过 URL 路径分类攻击类型(wp-admin 探测、phpMyAdmin 扫描、.env/git 泄露、sqlmap user-agents) - 将检测结果映射到 MITRE ATT&CK 技术(T1190, T1083, T1046, T1202, T1110, T1059.007) - 通过 iptables 自动拦截攻击者 IP - 将所有攻击记录到 SQLite 数据库中 - **已记录来自 298 名独立攻击者的 305 次攻击**,且数量仍在增加 ### GateKeeper — Discord 安全机器人 一个基于 Flask API 和 Web 仪表盘的活跃 Discord 机器人。用于在 Discord 上追踪威胁行为者的标识符。 **统计:** 7,897 名追踪用户,10 名经过身份验证的操作员,执行全局黑名单。 **机器人命令:** - 安全:auth, unauth, grant, verify, threat lookup(威胁查询), blacklist management(黑名单管理) - 猎手:username resolution(用户名解析), cross-referencing(交叉比对), alt-account detection(小号检测)(85% 相似度阈值) - 配置:server configuration(服务器配置), logging(日志记录), blacklist actions(黑名单操作) **API Endpoints:** - `GET /api/health` — 健康检查(公开) - `GET /api/global/stats` — 公开统计数据 - `GET /api/stats/detailed` — 详细平台统计信息 - `GET /api/search?q=` — 通过 ID 或用户名搜索用户(需验证) - `GET /api/stats` — 所有统计信息(需验证) **后台:** - 每 15 分钟自主监控一次 - 生成每日报告 - 通过 Discord API 进行 username resolution,并带有速率限制保护 - 使用 AES-256-CBC 加密的冷存储备份推送到 GitHub releases ### Deep Sentinel — 日志监控器 监控系统日志以获取攻击特征: - SSH 身份验证日志:无效用户、PAM 失败、协议不匹配 - Web 服务器日志:SQL injection、path traversal、prototype pollution、scraper bots - 通过 ipset 自动屏蔽检测到的 IP ### Data Enrichment 使用 GeoIP 查询为拦截的 IP 地址添加地理位置上下文。每 60 秒运行一次。 ### WinterGate 网站 **wintergate.org** — 面向公众的网站,包含: - 集体使命与原则 - 活跃服务门户 - 包含实时统计和搜索功能的 GateKeeper Web 仪表盘 - 关于本集体的介绍 ## 即将推出的服务 ### TEL API — Threat Entity Library _(概念)_ 计划推出的用于精选威胁情报数据的编程 API。将允许服务器所有者和审核工具实时查询威胁数据。 ### Safe Haven Registry _(概念)_ 计划推出的目录,收录由 WinterGate IC 操作员评估和审查过的、受信任的社区空间。 ## 数据处理 ### 核心原则:我们不记录普通用户 WinterGate IC 绝不追踪、记录或监控普通用户。数据收集严格限于: | 数据 | 来源 | 保留期限 | 用途 | |---|---|---|---| | 攻击者 IP | Honeypot, SSH 日志, Web 日志 | 30 天(活跃),365 天(黑名单) | 威胁检测,拦截 | | HTTP 攻击路径 | Honeypot | 30 天 | 攻击分类 | | ID | 社区报告,公开来源 | 直到要求移除 | 威胁情报 | | 攻击元数据 | 自动检测 | 7 天(常规),90 天(严重) | 模式分析 | **不收集:** - 不追踪普通的网站访客 - 不使用 cookies、analytics 或 fingerprinting - 不涉及浏览行为 - 不收集非威胁用户的个人数据 - 不进行消息内容监控 - 不监控普通用户的社交媒体 [阅读完整的数据处理文档 →](DATA-HANDLING.md) ## 标准操作程序 我们的操作遵循已记录的 SOP,涵盖情报方法论、数据处理、威胁验证、事件响应和数据保留。 [阅读完整的 SOP →](SOP.md) ## 联系方式 常规咨询:**[wintergate.org](https://wintergate.org)** *WinterGate Intelligence Collective — 阴影止步之处,便是众人屹立之地。*
标签:CISA项目, Discord机器人, Elastic, Flask, SQLite, 威胁情报, 开发者工具, 插件系统, 社区防御, 网络安全审计, 蜜罐, 证书利用, 逆向工具, 防守方