pyHIDS - pyHIDS

2013-02-18T12:40:53+00:00

Le week-end dernier a été l’occasion de reprendre un petit projet commencé en 2008. Le code source de pyHIDS est à l’abandon. Le programme fonctionnait déjà assez bien à l’époque puisquil était utilisé dans le but de vérifier l’intégrité de mon ordinateur durant les deux années qui ont suivi sa création (sur une Mandriva Cooker).

pyHIDS fonctionne maintenant avec Python 3.2 et est aussi plus rapide, j’ai appliqué les conseils d’un commentaire bienveillant.
À l’époque jutilisais une version fait maison de RSA, dorénavant cette excellente implémentation est utilisée. Cela facilite l’installation.
J’ai également amélioré et facilité la configuration qui se fait maintenant dans un fichier de configuration dédié. D’autres changements sont prévus à ce niveau.

Fonctionalités:

génération de clés RSA afin de vérifier l’intégrité de la base. Après génération de la base dans l’idéal il faut supprimer la clé privé de l’ordinateur surveillé;
notifications des modifications sur le système via Syslog ou envoie de-mail;
notifications par e-mail des exécutions de pyHIDS, même lorsque l’intégrité du système est préservée. Ceci pour éviter qu’un attaquant ne supprime les règles cron;
enregistrement de tous les événements dans un fichier avec un format standard. Ce qui va me permettre d’écrire un petit parseur CGI afin dexposer les derniers événements (heures de scan du système, heures de détection de problèmes, etc.).

Le projet a une page Freecode pour suivre les mises à jour.

pyHIDS - pyHIDS: version 0.2

2013-02-27T07:47:01+00:00

La version 0.2 de pyHIDS est disponible. Cette nouvelle version introduit la possibilité de vérifier la sortie de commandes systèmes. Nous pouvons donc par exemple surveiller la sortie de la commande iptables -L.

pyHIDS - pyHIDS: Alertes IRC

2013-06-13T17:16:48+00:00

pyHIDS peut maintenant envoyer des alertes sur un channel IRC via irker, comme le montre la capture décran ci-dessous.

Le channel IRC est à spécifier dans le fichier de configuration de pyHIDS.
Évidemment ceci nempêche pas denvoyer les alertes par email ou dans le fichier syslog en même temps.

Autre amélioration, le fichier de configuration permet maintenant de tout configurer, enfin!

[globals]
nb_bits = 752
[irc]
channel = irc://chat.freenode.net/#testpyHIDS
[email]
enabled = 0
mail_from = pyHIDS@no-reply.com
mail_to = you_address
smtp = SMTP_server
username = your_username
password = your_password
[files]
file1 = /etc/crontab
file2 = /boot/grub/grub.cfg
file3 = /etc/shadow
file4 = /etc/networks
[rules]
rule1 = conf /etc
rule2 = list /etc/apt
[commands]
iptables = /sbin/iptables -L

La documentation explique le rôle des différentes sections (le fichier n’est pas très compliqué). La première section indique la taille de la clé RSA à générer. La section rules permet de fixer des expressions régulières afin de trouver des fichiers dans un dossier. La dernière section, commands spécifie les commandes à exécuter pour vérifier si la sortie est toujours la même.

pyHIDS - pyHIDS: notifications Bitmessage

2014-01-09T06:44:32+00:00

Il est maintenant possible de s’abonner à une adresse Bitmessage qui recevra les notifications de pyHIDS.

pyHIDS - pyHIDS 0.6.1

2023-08-04T10:00:00+00:00

The new version of pyHIDS features the integration of Hashlookup and Pandora.

You can install it from Pypi, for example with pipx:

$ pipx install pyHIDS
$ export PYHIDS_CONFIG=~/.pyHIDS/conf.cfg

Example of usage:

$ pyhids gen-keys --size 2048
Generating 2048 bits RSA keys ...
Dumping Keys
Done.

$ pyhids gen-base --sign
Generating database...
2427 files in the database.

$ pyhids run --check-signature
Verifying the integrity of the base of hashes...
Database integrity verified.
Verifying the integrity of the files...

If you want to check the database of hashes against Hashlookup and Pandora for known malicious files:

$ pyhids hashlookup

$ pyhids pandora

pyHIDS - pyHIDS 0.8.0

2023-10-06T11:50:45+00:00

The new version of pyHIDS offers the integration of MISP and of YARA.

A MISP server can be queried in order to find potentially malicious files from the checksums in the database of pyHIDS.
The YARA module allows you to provide a set of YARA rules to apply to the monitoried files.

As a reminder, a recent previous version of pyHIDS introduced the integration of Hashlookup and of Pandora.

To be honest, I’m pretty happy with this new version.