
0x01 工具介绍MxCwpp是一款企业级开源安全利器聚焦政企服务器安全运维场景。平台深度整合漏洞管理、合规基线检查、威胁狩猎、威胁情报联动核心能力支持主机与容器全维度安全防护内置丰富合规规则与检测策略可实现风险发现、核查、溯源闭环零成本助力企业搭建标准化、轻量化服务器安全运营体系。注意现在只对常读和星标的才展示大图推送建议大家把渗透安全HackTwo设为星标⭐️否则可能就看不到了啦下载地址在末尾 #渗透安全HackTwo0x02 功能介绍✨MxCwpp 社区版核心功能特点企业级架构零授权费用社区版与内部企业版架构完全一致——六微服务拆分Manager / AgentCenter / Consumer / Engine / LLMProxy / VulnSync控制面全部无状态支持 Docker Compose 单机到 Kubernetes 集群的水平扩展。不用买授权不用谈商务下载即用。eBPF 内核级运行时检测基于 Tetragon eBPF 技术在 Linux 内核态实时捕获进程、文件、网络、内存事件零性能损耗实现进程镂空、memfd_exec、shellcode 注入、LSASS 内存转储等高级攻击检测。传统 Agent 还在读/var/log的时候eBPF 已经看到 syscall 级别了。212 条 CIS 基线 一键自动修复覆盖 9 种检查器、212 条 CIS Benchmark 核心规则 80 条容器专用基线支持单机/批量自动修复。等保、关基、密评需要的基线检查项开箱即用不用自己写脚本。双引擎病毒查杀ClamAV YARA-XClamAV 负责已知恶意软件特征匹配YARA-X73 条规则 / 50 个家族负责高级持续威胁APT和未知样本检测。检出文件自动送入隔离箱支持一键恢复或彻底删除闭环处置。内存取证 Rootkit 检测EDR 级别内存威胁memfd_exec 无文件执行、进程镂空Process Hollowing、shellcode 注入、LSASS dumpRootkit 检测DKOM 隐藏 PID / 内核模块 / 端口、LD_PRELOAD 劫持、/proc不一致检测AD / LDAP 域控安全审计7 条专用检测规则覆盖 Active Directory 核心攻击场景DCSync 凭据复制攻击Kerberoasting 票据破解暴力破解 / 密码喷洒非工时 RDP 登录特权账户异常分配企业内网横向移动的早期信号直接捕捉。蜜罐传感器 文件诱饵内置 SSH 蜜罐、HTTP 蜜罐 文件诱饵策略配合合法备份工具白名单精准识别勒索软件早期行为。攻击者触碰蜜罐的瞬间告警直达控制台。攻击故事线ATTCK 杀链时间线基于 MITRE ATTCK 框架将分散的告警自动关联成攻击时间线Kill Chain。从初始访问 → 执行 → 持久化 → 提权 → 防御规避一眼看清攻击者走了哪几步。威胁狩猎SPL 风格 DSL → SQL提供 SPL 风格领域特定语言DSL自动转译为 ClickHouse SQL在 PB 级事件归档上执行交互式威胁狩猎。不用学新语法安全分析师的 Splunk 经验直接复用。SBOM VEX 漏洞利用性声明SBOM 导出软件物料清单自动生成VEX 导出CycloneDX VEX 1.5 CSAF 2.0 格式直接给客户出具厂商漏洞利用性声明满足供应链安全合规要求ML 行为异常检测基于 Isolation Forest 算法自动学习主机/容器的行为基线对偏离基线的异常行为实时评分。零规则配置自适应检测内部威胁和未知攻击。告警聚合 自动响应告警太多看不过来我们帮你自动处置。告警聚合同一攻击源的重复告警自动合并白名单误报一键加白减少噪音自动响应检测到威胁后自动执行kill 进程 / 网络隔离 / 文件隔离无需人工介入容器安全K8s 全链路防护K8s 集群资产自动采集容器 CIS 基线 80 条规则K8s Audit Webhook 接入容器入侵检测内置样例规则漏洞管理OSV.dev CVSS v3.1基于软件包 PURL 采集对接 OSV.dev 漏洞数据库CVSS v3.1 评分修复优先级自动排序。支持漏洞情报热更新企业版社区版手动更新同样可用。0x03 更新介绍新增AI功能0x04 使用介绍安装与使用指南环境要求组件最低版本说明Docker24.0必须用于容器化部署Docker Composev2.20必须编排多服务Git任意克隆仓库服务器 OSRocky Linux 9 / Ubuntu 22.04 / CentOS 7推荐物理机或虚拟机均可内存8GB推荐 16GB用于运行全量服务磁盘100GB根据资产规模调整注意Windows 支持目前社区版尚未开放请使用 Linux 服务器部署。Docker Compose 推荐克隆仓库git clone https://github.com/matrixplusio/mxcwpp.gitcd mxcwpp/deploy配置环境变量cp .env.example .envvim .env需要修改的关键配置项配置项示例值说明SERVER_IP192.168.1.100服务器公网或内网 IPJWT_SECRETyour-random-secret-key登录 Token 密钥务必修改MYSQL_ROOT_PASSWORDStrongPssw0rdMySQL root 密码MYSQL_PASSWORDStrongPssw0rd应用数据库密码REDIS_PASSWORDStrongPssw0rdRedis 密码CLICKHOUSE_PASSWORDStrongPssw0rdClickHouse 密码启动服务单机模式docker compose --env-file .env up -d高可用模式可选如需水平扩展 Manager、AgentCenter、Consumerdocker compose --env-file .env up -d \--scale manager2 \--scale agentcenter2 \--scale consumer2访问控制台打开浏览器访问http://SERVER_IP默认登录账户字段值用户名admin密码admin123首次登录后务必修改默认密码。Agent 安装被管控主机在目标主机上执行 Agent 安装命令以 RPM 包为例Agent 安装成功后会自动上报资产信息在资产中心可见。服务验证启动后检查各服务状态# 下载 Agent 安装包从 Manager 控制台获取对应命令curl -O http://SERVER_IP:6751/download/agent-latest.rpm# 安装rpm -ivh agent-latest.rpm# 启动并注册到平台systemctl enable mxcwpp-agentsystemctl start mxcwpp-agent日志排查# Manager 日志docker logs -f mxcwpp-manager-1# AgentCenter 日志docker logs -f mxcwpp-agentcenter-1# Consumer 日志docker logs -f mxcwpp-consumer-1常见问题问题排查方法端口冲突检查.env中端口映射确保 80/443/3306/6379/8123/9092/6751 未被占用Agent 无法注册检查防火墙是否放行 6751 端口确认SERVER_HOST配置正确数据库连接失败确认 MySQL 容器已启动密码与.env一致内存不足建议至少 8GB 内存生产环境 16GBKafka 启动慢KRaft 模式首次启动需初始化元数据等待 30-60 秒下载方式《渗透安全HackTwo》回复20260702获取下载