WinterGate-IC/wintergate
GitHub: WinterGate-IC/wintergate
WinterGate IC 是一个基于 OSINT 和蜜罐遥测的会员制威胁情报与社区防御安全集体,通过自动化检测、日志监控和 Discord 安全机器人帮助社区识别并防御网络威胁行为者。
Stars: 0 | Forks: 0
# WinterGate Intelligence Collective
**阴影止步之处,便是众人屹立之地。**
WinterGate IC 是一个私有的、基于会员制的安全与情报集体。我们利用开源情报 (OSINT) 和 honeypot 遥测技术来研究网络滥用、追踪威胁行为者,并帮助社区进行防御。不进行非法监视,不进行黑客攻击,不进行欺骗。
成立于 2025 年 4 月 9 日。
## 运营原则
1. **仅限 OSINT** — 所有情报均来自公开来源、honeypot 遥测和用户提交的报告。不进行任何非法活动。
2. **隐私优先** — 永不记录或追踪普通用户。仅记录攻击我们基础设施的攻击者。
3. **拒绝作秀** — 不进行公开曝光或表演性行动。我们的工作安静且有分寸。
4. **克制应对** — 所有应对措施均合法、透明,且仅限于审查公开信息和分享实用建议。
5. **社区防御** — 我们的目标是保护安全的数字空间,而不是惩罚恶意行为者。
## 活跃服务
### Honeypot 网络
在端口 8899 上的一个低交互 HTTP tarpit,用于捕获端口扫描器、爬虫和自动化攻击者。
- 通过 URL 路径分类攻击类型(wp-admin 探测、phpMyAdmin 扫描、.env/git 泄露、sqlmap user-agents)
- 将检测结果映射到 MITRE ATT&CK 技术(T1190, T1083, T1046, T1202, T1110, T1059.007)
- 通过 iptables 自动拦截攻击者 IP
- 将所有攻击记录到 SQLite 数据库中
- **已记录来自 298 名独立攻击者的 305 次攻击**,且数量仍在增加
### GateKeeper — Discord 安全机器人
一个基于 Flask API 和 Web 仪表盘的活跃 Discord 机器人。用于在 Discord 上追踪威胁行为者的标识符。
**统计:** 7,897 名追踪用户,10 名经过身份验证的操作员,执行全局黑名单。
**机器人命令:**
- 安全:auth, unauth, grant, verify, threat lookup(威胁查询), blacklist management(黑名单管理)
- 猎手:username resolution(用户名解析), cross-referencing(交叉比对), alt-account detection(小号检测)(85% 相似度阈值)
- 配置:server configuration(服务器配置), logging(日志记录), blacklist actions(黑名单操作)
**API Endpoints:**
- `GET /api/health` — 健康检查(公开)
- `GET /api/global/stats` — 公开统计数据
- `GET /api/stats/detailed` — 详细平台统计信息
- `GET /api/search?q=` — 通过 ID 或用户名搜索用户(需验证)
- `GET /api/stats` — 所有统计信息(需验证)
**后台:**
- 每 15 分钟自主监控一次
- 生成每日报告
- 通过 Discord API 进行 username resolution,并带有速率限制保护
- 使用 AES-256-CBC 加密的冷存储备份推送到 GitHub releases
### Deep Sentinel — 日志监控器
监控系统日志以获取攻击特征:
- SSH 身份验证日志:无效用户、PAM 失败、协议不匹配
- Web 服务器日志:SQL injection、path traversal、prototype pollution、scraper bots
- 通过 ipset 自动屏蔽检测到的 IP
### Data Enrichment
使用 GeoIP 查询为拦截的 IP 地址添加地理位置上下文。每 60 秒运行一次。
### WinterGate 网站
**wintergate.org** — 面向公众的网站,包含:
- 集体使命与原则
- 活跃服务门户
- 包含实时统计和搜索功能的 GateKeeper Web 仪表盘
- 关于本集体的介绍
## 即将推出的服务
### TEL API — Threat Entity Library _(概念)_
计划推出的用于精选威胁情报数据的编程 API。将允许服务器所有者和审核工具实时查询威胁数据。
### Safe Haven Registry _(概念)_
计划推出的目录,收录由 WinterGate IC 操作员评估和审查过的、受信任的社区空间。
## 数据处理
### 核心原则:我们不记录普通用户
WinterGate IC 绝不追踪、记录或监控普通用户。数据收集严格限于:
| 数据 | 来源 | 保留期限 | 用途 |
|---|---|---|---|
| 攻击者 IP | Honeypot, SSH 日志, Web 日志 | 30 天(活跃),365 天(黑名单) | 威胁检测,拦截 |
| HTTP 攻击路径 | Honeypot | 30 天 | 攻击分类 |
| ID | 社区报告,公开来源 | 直到要求移除 | 威胁情报 |
| 攻击元数据 | 自动检测 | 7 天(常规),90 天(严重) | 模式分析 |
**不收集:**
- 不追踪普通的网站访客
- 不使用 cookies、analytics 或 fingerprinting
- 不涉及浏览行为
- 不收集非威胁用户的个人数据
- 不进行消息内容监控
- 不监控普通用户的社交媒体
[阅读完整的数据处理文档 →](DATA-HANDLING.md)
## 标准操作程序
我们的操作遵循已记录的 SOP,涵盖情报方法论、数据处理、威胁验证、事件响应和数据保留。
[阅读完整的 SOP →](SOP.md)
## 联系方式
常规咨询:**[wintergate.org](https://wintergate.org)**
*WinterGate Intelligence Collective — 阴影止步之处,便是众人屹立之地。*
标签:CISA项目, Discord机器人, Elastic, Flask, SQLite, 威胁情报, 开发者工具, 插件系统, 社区防御, 网络安全审计, 蜜罐, 证书利用, 逆向工具, 防守方