可以协助进行系统分析

LinuxCheck

一个linux信息搜集小脚本 主要用于应急响应,在Debian或Centos下都可使用

功能

CPU TOP10 、内存 TOP10
CPU使用率
开机时间
硬盘空间信息
用户信息、passwd信息
环境变量检测
服务列表
系统程序改动(debsums -e与rpm -va)
网络流量统计
网络连接、监听端口
对外开放端口
路由表信息
路由转发
ARP
DNS Server
SSH登陆信息
SSH登陆IP
iptables 信息
SSH key 检测
SSH 爆破IP
Crontab 检测
Crontab 后门检测
查找常见配置文件
查找常用软件
审计history文件
查询HOSTS文件
lsmod 异常内核模块
异常文件检测(nc、tunnel、proxy常见黑客工具)
大文件检测(打包的一些大文件)
剩余空间、硬盘挂载
对外开放端口
LD_PRELOAD 检测
LD_LIBRARY_PATH
ld.so.preload
网卡混杂模式
常用软件
近7天改动文件mtime
近7天改动文件ctime
查看SUID文件
查找..隐藏文件
查找敏感文件(nc、nmap、tunnel)
alias别名
LSOF -L1
SSHD
查找bash反弹shell
php webshell扫描
jsp webshell扫描
asp/aspx webshell扫描
挖矿进程检测
rkhunter 扫描

Usage

联网状态:

apt-get install silversearcher-ag
yum -y install the_silver_searcher

离线状态:

  • Debian:dpkg -i silversearcher-ag_2.2.0-1+b1_amd64.deb
  • Centos:rpm -ivh the_silver_searcher-2.1.0-1.el7.x86_64.rpm
git clone https://github.com/al0ne/LinuxCheck.git
chmod u+x LinuxCheck.sh
./LinuxCheck.sh
如果已经安装了ag和rkhunter可以直接使用以下命令
bash -c "$(curl -sSL https://raw.githubusercontent.com/al0ne/LinuxCheck/master/LinuxCheck.sh)"
文件会保存成ipaddr_hostname_username_timestamp.log 这种格式

GScan

本程序旨在为安全应急响应人员对Linux主机排查时提供便利,实现主机侧Checklist的自动全面化检测,根据检测结果自动数据聚合,进行黑客攻击路径溯源。

CheckList检测项

1、主机信息获取
2、系统初始化alias检查
3、文件类安全扫描
  3.1、系统重要文件完整行扫描
  3.2、系统可执行文件安全扫描
  3.3、临时目录文件安全扫描
  3.4、用户目录文件扫描
  3.5、可疑隐藏文件扫描
4、各用户历史操作类
  4.1、境外ip操作类
  4.2、反弹shell类
5、进程类安全检测
  5.1、CUP和内存使用异常进程排查
  5.2、隐藏进程安全扫描
  5.3、反弹shell类进程扫描
  5.4、恶意进程信息安全扫描
  5.5、进程对应可执行文件安全扫描
6、网络类安全检测
  6.1、境外IP链接扫描
  6.3、恶意特征链接扫描
  6.4、网卡混杂模式检测
7、后门类检测
  7.1、LD_PRELOAD后门检测
  7.2、LD_AOUT_PRELOAD后门检测
  7.3、LD_ELF_PRELOAD后门检测
  7.4、LD_LIBRARY_PATH后门检测
  7.5、ld.so.preload后门检测
  7.6、PROMPT_COMMAND后门检测
  7.7、Cron后门检测
  7.8、Alias后门
  7.9、SSH 后门检测
  7.10、SSH wrapper 后门检测
  7.11、inetd.conf 后门检测
  7.12、xinetd.conf 后门检测
  7.13、setUID 后门检测
  7.14、8种系统启动项后门检测
8、账户类安全排查
  8.1、root权限账户检测
  8.2、空口令账户检测
  8.3、sudoers文件用户权限检测
  8.4、查看各账户下登录公钥
  8.5、账户密码文件权限检测
9、日志类安全分析
  9.1、secure登陆日志
  9.2、wtmp登陆日志
  9.3、utmp登陆日志
  9.4、lastlog登陆日志
10、安全配置类分析
  10.1、DNS配置检测
  10.2、Iptables防火墙配置检测
  10.3、hosts配置检测
11、Rootkit分析
  11.1、检查已知rootkit文件类特征
  11.2、检查已知rootkit LKM类特征
  11.3、检查已知恶意软件类特征检测
12.WebShell类文件扫描
  12.1、WebShell类文件扫描

root# git clone https://github.com/grayddq/GScan.git

root# cd GScan

root# python GScan.py

root# python GScan.py --sug --pro

进行定时任务设置,异常日志将按行输出到./GScan/log/log.log,可通过syslog等服务同步日志信息。

root# python GScan.py --job #每天零点执行一次

root# python GScan.py --job --hour=2 #每2小时执行一次

原文来自:

https://github.com/grayddq/GScan

https://github.com/al0ne/LinuxCheck

大概就这些……

说点什么
支持Markdown语法
好耶,沙发还空着ヾ(≧▽≦*)o
Loading...