企业级开源安全利器,整合漏洞管理、基线检查,威胁狩猎、情报联动,适配政企服务器安全运维
0x01 工具介绍
MxCwpp是一款企业级开源安全利器,聚焦政企服务器安全运维场景。平台深度整合漏洞管理、合规基线检查、威胁狩猎、威胁情报联动核心能力,支持主机与容器全维度安全防护,内置丰富合规规则与检测策略,可实现风险发现、核查、溯源闭环,零成本助力企业搭建标准化、轻量化服务器安全运营体系。
注意:现在只对常读和星标的才展示大图推送,建议大家把渗透安全HackTwo"设为星标⭐️"否则可能就看不到了啦!
下载地址在末尾 #渗透安全HackTwo
0x02 功能介绍
✨MxCwpp 社区版核心功能特点
企业级架构,零授权费用
社区版与内部企业版架构完全一致——六微服务拆分(Manager / AgentCenter / Consumer / Engine / LLMProxy / VulnSync),控制面全部无状态,支持 Docker Compose 单机到 Kubernetes 集群的水平扩展。不用买授权,不用谈商务,下载即用。
eBPF 内核级运行时检测
基于 Tetragon + eBPF 技术,在 Linux 内核态实时捕获进程、文件、网络、内存事件,零性能损耗实现进程镂空、memfd_exec、shellcode 注入、LSASS 内存转储等高级攻击检测。传统 Agent 还在读/var/log的时候,eBPF 已经看到 syscall 级别了。
212 条 CIS 基线 + 一键自动修复
覆盖 9 种检查器、212 条 CIS Benchmark 核心规则 + 80 条容器专用基线,支持单机/批量自动修复。等保、关基、密评需要的基线检查项,开箱即用,不用自己写脚本。
双引擎病毒查杀:ClamAV + YARA-X
ClamAV 负责已知恶意软件特征匹配,YARA-X(73 条规则 / 50 个家族)负责高级持续威胁(APT)和未知样本检测。检出文件自动送入隔离箱,支持一键恢复或彻底删除,闭环处置。
内存取证 + Rootkit 检测(EDR 级别)
内存威胁:memfd_exec 无文件执行、进程镂空(Process Hollowing)、shellcode 注入、LSASS dump
Rootkit 检测:DKOM 隐藏 PID / 内核模块 / 端口、LD_PRELOAD 劫持、
/proc不一致检测
AD / LDAP 域控安全审计
7 条专用检测规则覆盖 Active Directory 核心攻击场景:
DCSync 凭据复制攻击
Kerberoasting 票据破解
暴力破解 / 密码喷洒
非工时 RDP 登录
特权账户异常分配
企业内网横向移动的早期信号,直接捕捉。
蜜罐传感器 + 文件诱饵
内置 SSH 蜜罐、HTTP 蜜罐 + 文件诱饵策略,配合合法备份工具白名单,精准识别勒索软件早期行为。攻击者触碰蜜罐的瞬间,告警直达控制台。
攻击故事线:ATT&CK 杀链时间线
基于 MITRE ATT&CK 框架,将分散的告警自动关联成攻击时间线(Kill Chain)。从初始访问 → 执行 → 持久化 → 提权 → 防御规避,一眼看清攻击者走了哪几步。
威胁狩猎:SPL 风格 DSL → SQL
提供 SPL 风格领域特定语言(DSL),自动转译为 ClickHouse SQL,在 PB 级事件归档上执行交互式威胁狩猎。不用学新语法,安全分析师的 Splunk 经验直接复用。
SBOM + VEX 漏洞利用性声明
SBOM 导出:软件物料清单自动生成
VEX 导出:CycloneDX VEX 1.5 + CSAF 2.0 格式,直接给客户出具厂商漏洞利用性声明,满足供应链安全合规要求
ML 行为异常检测
基于 Isolation Forest 算法,自动学习主机/容器的行为基线,对偏离基线的异常行为实时评分。零规则配置,自适应检测内部威胁和未知攻击。
告警聚合 + 自动响应
"告警太多看不过来?我们帮你自动处置。"
告警聚合:同一攻击源的重复告警自动合并
白名单:误报一键加白,减少噪音
自动响应:检测到威胁后自动执行kill 进程 / 网络隔离 / 文件隔离,无需人工介入
容器安全:K8s 全链路防护
K8s 集群资产自动采集
容器 CIS 基线 80 条规则
K8s Audit Webhook 接入
容器入侵检测(内置样例规则)
漏洞管理:OSV.dev + CVSS v3.1
基于软件包 PURL 采集,对接 OSV.dev 漏洞数据库,CVSS v3.1 评分,修复优先级自动排序。支持漏洞情报热更新(企业版),社区版手动更新同样可用。
0x03 更新介绍
新增AI功能0x04 使用介绍
📦安装与使用指南
环境要求
| 组件 | 最低版本 | 说明 |
|---|---|---|
| Docker | 24.0+ | 必须,用于容器化部署 |
| Docker Compose | v2.20+ | 必须,编排多服务 |
| Git | 任意 | 克隆仓库 |
| 服务器 OS | Rocky Linux 9 / Ubuntu 22.04 / CentOS 7+ | 推荐,物理机或虚拟机均可 |
| 内存 | 8GB+ | 推荐 16GB,用于运行全量服务 |
| 磁盘 | 100GB+ | 根据资产规模调整 |
注意:Windows 支持目前社区版尚未开放,请使用 Linux 服务器部署。
Docker Compose 推荐
克隆仓库
git clone https://github.com/matrixplusio/mxcwpp.gitcd mxcwpp/deploy
配置环境变量
cp .env.example .envvim .env
需要修改的关键配置项:
| 配置项 | 示例值 | 说明 |
|---|---|---|
SERVER_IP | 192.168.1.100 | 服务器公网或内网 IP |
JWT_SECRET | your-random-secret-key | 登录 Token 密钥,务必修改 |
MYSQL_ROOT_PASSWORD | StrongP@ssw0rd | MySQL root 密码 |
MYSQL_PASSWORD | StrongP@ssw0rd | 应用数据库密码 |
REDIS_PASSWORD | StrongP@ssw0rd | Redis 密码 |
CLICKHOUSE_PASSWORD | StrongP@ssw0rd | ClickHouse 密码 |
启动服务(单机模式)
docker compose --env-file .env up -d高可用模式(可选)
如需水平扩展 Manager、AgentCenter、Consumer:
docker compose --env-file .env up -d \--scale manager=2 \--scale agentcenter=2 \--scale consumer=2
访问控制台
打开浏览器访问:
http://<SERVER_IP>默认登录账户:
| 字段 | 值 |
|---|---|
| 用户名 | admin |
| 密码 | admin123 |
首次登录后务必修改默认密码。
Agent 安装(被管控主机)
在目标主机上执行 Agent 安装命令(以 RPM 包为例):
Agent 安装成功后会自动上报资产信息,在资产中心可见。
服务验证
启动后检查各服务状态:
# 下载 Agent 安装包(从 Manager 控制台获取对应命令)curl -O http://<SERVER_IP>:6751/download/agent-latest.rpm# 安装rpm -ivh agent-latest.rpm# 启动并注册到平台systemctl enable mxcwpp-agentsystemctl start mxcwpp-agent
日志排查:
# Manager 日志docker logs -f mxcwpp-manager-1# AgentCenter 日志docker logs -f mxcwpp-agentcenter-1# Consumer 日志docker logs -f mxcwpp-consumer-1
常见问题
| 问题 | 排查方法 |
|---|---|
| 端口冲突 | 检查.env中端口映射,确保 80/443/3306/6379/8123/9092/6751 未被占用 |
| Agent 无法注册 | 检查防火墙是否放行 6751 端口,确认SERVER_HOST配置正确 |
| 数据库连接失败 | 确认 MySQL 容器已启动,密码与.env一致 |
| 内存不足 | 建议至少 8GB 内存,生产环境 16GB+ |
| Kafka 启动慢 | KRaft 模式首次启动需初始化元数据,等待 30-60 秒 |
下载方式
《渗透安全HackTwo》回复20260702获取下载