文章总结: MxCwpp是一款开源企业级服务器安全运维平台,采用微服务架构支持弹性扩展。核心涵盖基于eBPF的内核级检测、EDR级内存取证、双引擎病毒查杀及CIS基线自动修复。集成ML异常检测、SPL风格威胁狩猎与供应链合规,结合ATT&CK攻击链关联实现自动隔离闭环。建议通过DockerCompose在Linux环境部署,以零成本构建轻量化安全体系。 综合评分: 65 文章分类: 安全工具,产品介绍,软文广告,终端安全,云安全
企业级开源安全利器,整合漏洞管理、基线检查,威胁狩猎、情报联动,适配政企服务器安全运维
imkerbos imkerbos
渗透安全HackTwo
2026年7月2日 00:08 广东
在小说阅读器读本章
去阅读
0x01 工具介绍
MxCwpp是一款企业级开源安全利器,聚焦政企服务器安全运维场景。平台深度整合漏洞管理、合规基线检查、威胁狩猎、威胁情报联动核心能力,支持主机与容器全维度安全防护,内置丰富合规规则与检测策略,可实现风险发现、核查、溯源闭环,零成本助力企业搭建标准化、轻量化服务器安全运营体系。
注意:现在只对常读和星标的公众号才展示大图推送,建议大家把渗透安全HackTwo“设为星标⭐️“否则可能就看不到了啦!
下载地址在末尾 #渗透安全HackTwo
0x02 功能介绍
✨MxCwpp 社区版核心功能特点
企业级架构,零授权费用
社区版与内部企业版架构完全一致——六微服务拆分(Manager / AgentCenter / Consumer / Engine / LLMProxy / VulnSync),控制面全部无状态,支持 Docker Compose 单机到 Kubernetes 集群的水平扩展。不用买授权,不用谈商务,下载即用。
eBPF 内核级运行时检测
基于 Tetragon + eBPF 技术,在 Linux 内核态实时捕获进程、文件、网络、内存事件,零性能损耗实现进程镂空、memfd_exec、shellcode 注入、LSASS 内存转储等高级攻击检测。传统 Agent 还在读 /var/log 的时候,eBPF 已经看到 syscall 级别了。
212 条 CIS 基线 + 一键自动修复
覆盖 9 种检查器、212 条 CIS Benchmark 核心规则 + 80 条容器专用基线,支持单机/批量自动修复。等保、关基、密评需要的基线检查项,开箱即用,不用自己写脚本。
双引擎病毒查杀:ClamAV + YARA-X
ClamAV 负责已知恶意软件特征匹配,YARA-X(73 条规则 / 50 个家族)负责高级持续威胁(APT)和未知样本检测。检出文件自动送入隔离箱,支持一键恢复或彻底删除,闭环处置。
内存取证 + Rootkit 检测(EDR 级别)
- 内存威胁:memfd_exec 无文件执行、进程镂空(Process Hollowing)、shellcode 注入、LSASS dump
- Rootkit 检测:DKOM 隐藏 PID / 内核模块 / 端口、LD_PRELOAD 劫持、
/proc不一致检测
AD / LDAP 域控安全审计
7 条专用检测规则覆盖 Active Directory 核心攻击场景:
- DCSync 凭据复制攻击
- Kerberoasting 票据破解
- 暴力破解 / 密码喷洒
- 非工时 RDP 登录
- 特权账户异常分配
企业内网横向移动的早期信号,直接捕捉。
蜜罐传感器 + 文件诱饵
内置 SSH 蜜罐、HTTP 蜜罐 + 文件诱饵策略,配合合法备份工具白名单,精准识别勒索软件早期行为。攻击者触碰蜜罐的瞬间,告警直达控制台。
攻击故事线:ATT&CK 杀链时间线
基于 MITRE ATT&CK 框架,将分散的告警自动关联成攻击时间线(Kill Chain)。从初始访问 → 执行 → 持久化 → 提权 → 防御规避,一眼看清攻击者走了哪几步。
威胁狩猎:SPL 风格 DSL → SQL
提供 SPL 风格领域特定语言(DSL),自动转译为 ClickHouse SQL,在 PB 级事件归档上执行交互式威胁狩猎。不用学新语法,安全分析师的 Splunk 经验直接复用。
SBOM + VEX 漏洞利用性声明
- SBOM 导出:软件物料清单自动生成
- VEX 导出:CycloneDX VEX 1.5 + CSAF 2.0 格式,直接给客户出具厂商漏洞利用性声明,满足供应链安全合规要求
ML 行为异常检测
基于 Isolation Forest 算法,自动学习主机/容器的行为基线,对偏离基线的异常行为实时评分。零规则配置,自适应检测内部威胁和未知攻击。
告警聚合 + 自动响应
“告警太多看不过来?我们帮你自动处置。”
- 告警聚合:同一攻击源的重复告警自动合并
- 白名单:误报一键加白,减少噪音
- 自动响应:检测到威胁后自动执行 kill 进程 / 网络隔离 / 文件隔离,无需人工介入
容器安全:K8s 全链路防护
- K8s 集群资产自动采集
- 容器 CIS 基线 80 条规则
- K8s Audit Webhook 接入
- 容器入侵检测(内置样例规则)
漏洞管理:OSV.dev + CVSS v3.1
基于软件包 PURL 采集,对接 OSV.dev 漏洞数据库,CVSS v3.1 评分,修复优先级自动排序。支持漏洞情报热更新(企业版),社区版手动更新同样可用。
#
0x03 更新介绍
新增AI功能
0x04 使用介绍
📦安装与使用指南
环境要求
| 组件 | 最低版本 | 说明 | | — | — | — | | Docker | 24.0+ | 必须,用于容器化部署 | | Docker Compose | v2.20+ | 必须,编排多服务 | | Git | 任意 | 克隆仓库 | | 服务器 OS | Rocky Linux 9 / Ubuntu 22.04 / CentOS 7+ | 推荐,物理机或虚拟机均可 | | 内存 | 8GB+ | 推荐 16GB,用于运行全量服务 | | 磁盘 | 100GB+ | 根据资产规模调整 |
注意:Windows 支持目前社区版尚未开放,请使用 Linux 服务器部署。
Docker Compose 推荐
克隆仓库
git clone https://github.com/matrixplusio/mxcwpp.gitcd mxcwpp/deploy
配置环境变量
cp .env.example .envvim .env
需要修改的关键配置项:
| 配置项 | 示例值 | 说明 |
| — | — | — |
| SERVER_IP | 192.168.1.100 | 服务器公网或内网 IP |
| JWT_SECRET | your-random-secret-key | 登录 Token 密钥,务必修改 |
| MYSQL_ROOT_PASSWORD | StrongP@ssw0rd | MySQL root 密码 |
| MYSQL_PASSWORD | StrongP@ssw0rd | 应用数据库密码 |
| REDIS_PASSWORD | StrongP@ssw0rd | Redis 密码 |
| CLICKHOUSE_PASSWORD | StrongP@ssw0rd | ClickHouse 密码 |
启动服务(单机模式)
docker compose --env-file .env up -d
高可用模式(可选)
如需水平扩展 Manager、AgentCenter、Consumer:
docker compose --env-file .env up -d \ --scale manager=2 \ --scale agentcenter=2 \ --scale consumer=2
访问控制台
打开浏览器访问:
http://<SERVER_IP>
默认登录账户:
| 字段 | 值 |
| — | — |
| 用户名 | admin |
| 密码 | admin123 |
首次登录后务必修改默认密码。
Agent 安装(被管控主机)
在目标主机上执行 Agent 安装命令(以 RPM 包为例):
Agent 安装成功后会自动上报资产信息,在 资产中心 可见。
服务验证
启动后检查各服务状态:
# 下载 Agent 安装包(从 Manager 控制台获取对应命令)curl -O http://<SERVER_IP>:6751/download/agent-latest.rpm# 安装rpm -ivh agent-latest.rpm# 启动并注册到平台systemctl enable mxcwpp-agentsystemctl start mxcwpp-agent
日志排查:
# Manager 日志docker logs -f mxcwpp-manager-1# AgentCenter 日志docker logs -f mxcwpp-agentcenter-1# Consumer 日志docker logs -f mxcwpp-consumer-1
常见问题
| 问题 | 排查方法 |
| — | — |
| 端口冲突 | 检查 .env 中端口映射,确保 80/443/3306/6379/8123/9092/6751 未被占用 |
| Agent 无法注册 | 检查防火墙是否放行 6751 端口,确认 SERVER_HOST 配置正确 |
| 数据库连接失败 | 确认 MySQL 容器已启动,密码与 .env 一致 |
| 内存不足 | 建议至少 8GB 内存,生产环境 16GB+ |
| Kafka 启动慢 | KRaft 模式首次启动需初始化元数据,等待 30-60 秒 |
0x05 内部VIP星球介绍-V1.5(福利)
如果你想学习更多渗透测试技术/应急溯源/免杀工具/挖洞SRC赚取漏洞赏金/红队打点等欢迎加入我们内部星球可获得内部工具字典和享受内部资源和内部交流群,每天更新1day/0day漏洞刷分上分(2026POC更新至8922+),包含全网一些付费扫描工具及内部原创的Burp自动化漏洞探测插件/漏扫工具等,AI代审工具,最新挖洞技巧等。shadon/Hunter/0zone/Zoomeye/Quake/Fofa高级会员/AI账号/CTFShow等各种账号会员共享。详情点击下方链接了解,觉得价格高的师傅后台回复” 星球 “有优惠券名额有限先到先得❗️啥都有❗️全网资源最新最丰富❗️**(🤙截止目前已有2800+多位师傅选择加入❗️早加入早享受)
最新漏洞情报分享:https://t.zsxq.com/DSAvv
👉点击了解加入–>>内部VIP知识星球福利介绍V1.5版本-1day/0day漏洞库及内部资源更新
结尾
免责声明
获取方法
公众号回复20260702获取下载、回复 加群 获取交流群
最后必看-免责声明
文章中的案例或工具仅面向合法授权的企业安全建设行为,如您需要测试内容的可用性,请自行搭建靶机环境,勿用于非法行为。如用于其他用途,由使用者承担全部法律及连带责任,与作者和本公众号无关。本项目所有收录的poc均为漏洞的理论判断,不存在漏洞利用过程,不会对目标发起真实攻击和漏洞利用。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。如您在使用本工具或阅读文章的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。本工具或文章或来源于网络,若有侵权请联系作者删除,请在24小时内删除,请勿用于商业行为,自行查验是否具有后门,切勿相信软件内的广告!
往期推荐
1.内部VIP知识星球福利介绍V1.5(AI自动化)
2.CS4.8-CobaltStrike4.8汉化+插件版
3.全新升级BurpSuite2026.4专业(稳定版)
4.最新xray1.9.11高级版下载Windows/Linux
5.最新HCL AppScan Standard
渗透安全HackTwo
微信号:关注公众号获取
后台回复星球加入:知识星球
扫码关注 了解更多
上一篇文章:Nacos配置文件攻防思路总结|揭秘Nacos被低估的攻击面
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:渗透安全HackTwo imkerbos imkerbos《企业级开源安全利器,整合漏洞管理、基线检查,威胁狩猎、情报联动,适配政企服务器安全运维》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论