linux系统自动化应急响应工具
2022-8-23 10:11:51 Author: 渗透安全团队(查看原文) 阅读量:53 收藏

linux系统自动化应急响应工具,支持基础配置/网络流量/任务计划/环境变量/用户信息/Services/bash/恶意文件/内核Rootkit/SSH/Webshell/挖矿文件/挖矿进程检查等12类70项检查

功能

  • 基础配置检查

    • 系统配置改动检查

    • 系统信息(IP地址/用户/开机时间/系统版本/Hostname)

    • CPU使用率

    • 登录用户信息

    • CPU TOP 15

    • 内存 TOP 15

    • 磁盘剩余空间检查

    • 硬盘挂载

    • 常用软件检查

    • /etc/hots

  • 网络/流量检查

    • ifconfig

    • 网络流量

    • 端口监听

    • 对外开放端口

    • 网络连接

    • TCP连接状态

    • 路由表

    • 路由转发

    • DNS Server

    • ARP

    • 网卡混杂模式检查

    • iptables 防火墙

  • 任务计划检查

    • 当前用户任务计划

    • /etc/系统任务计划

    • 任务计划文件创建时间

    • crontab 后门排查

  • 环境变量检查

    • env

    • path

    • LD_PRELOAD

    • LD_ELF_PRELOAD

    • LD_AOUT_PRELOAD

    • PROMPT_COMMAND

    • LD_LIBRARY_PATH

    • ld.so.preload

  • 用户信息检查

    • 可登陆用户

    • passwd文件修改日期

    • sudoers

    • 登录信息(w/last/lastlog)

    • 历史登陆ip

  • Services 检查

    • SystemD运行服务

    • SystemD服务创建时间

  • bash检查

    • History

    • History命令审计

    • /etc/profile

    • /etc/rc.local

    • ~/.bash_profile

    • ~/.bashrc

    • bash反弹shell

  • 文件检查

    • ...隐藏文件

    • 临时文件检查(/tmp /var/tmp /dev/shm)

    • alias

    • suid特殊权限检查

    • 进程存在文件未找到

    • 近七天文件改动 mtime

    • 近七天文件改动 ctime

    • 大文件>200mb

    • 敏感文件审计(nmap/sqlmap/ew/frp/nps等黑客常用工具)

  • 内核Rootkit 检查

    • lsmod 可疑模块

    • 内核符号表检查

    • rootkit hunter 检查

  • SSH检查

    • SSH 爆破

    • SSHD

    • SSH 后门配置

    • SSH inetd后门检查

    • SSH key

  • Webshell 检查

    • asp/aspx webshell检查

    • php webshell检查

    • jsp webshell检查

  • 挖矿文件/进程检查

    • 挖矿文件检查

    • 挖矿进程检查

Usage

联网状态:

  • apt-get install silversearcher-ag

  • yum -y install the_silver_searcher

离线状态:

  • Debian:dpkg -i silversearcher-ag_2.2.0-1+b1_amd64.deb

  • Centos:rpm -ivh the_silver_searcher-2.1.0-1.el7.x86_64.rpm

git clone https://github.com/al0ne/LinuxCheck.git
chmod u+x LinuxCheck.sh
./LinuxCheck.sh
如果已经安装了ag和rkhunter可以直接使用以下命令
bash -c "$(curl -sSL https://raw.githubusercontent.com/al0ne/LinuxCheck/master/LinuxCheck.sh)"
文件会保存成ipaddr_hostname_username_timestamp.log 这种格式

参考

此工具的编写主要参考了以下几款工具/文章并结合个人经验完成

Linenum
https://github.com/lis912/Evaluation_tools
https://ixyzero.com/blog/archives/4.html
https://github.com/T0xst/linux
https://github.com/grayddq/GScan

作者:al0ne,来源:https://github.com/al0ne/LinuxCheck

免责声明
由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

星球的最近主题和星球内部工具一些展示

欢迎加入星球!

关 注 有 礼

关注下方公众号回复“666”可以领取一套精品渗透测试工具集和百度云视频链接。

 还在等什么?赶紧点击下方名片关注学习吧!


群聊 | 技术交流群-群除我佬

干货|史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

好文分享收藏赞一下最美点在看哦

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247490853&idx=1&sn=3634d926901d4533725ce673b3d5af5e&chksm=c175e08af602699c453b2782bace9176ddf0d61be57c27c85dd07faba55c8a4ef9b14f0f516c#rd
如有侵权请联系:admin#unsafe.sh