whohk,一款强大的linux应急响应辅助工具

于 2024-09-28 09:17:35 发布
阅读量473 收藏 21
点赞数 20
文章标签: linux 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84578953/article/details/142610674
版权

前言

在linux下的应急响应往往需要通过繁琐的命令行来查看各个点的情况,有的时候还需要做一些格式处理,这对于linux下命令不是很熟悉的人比较不友好。本工具将linux下应急响应中常用的一些操作给集合了起来,并处理成了较为友好的格式,只需要通过一个参数就能代替繁琐复杂的命令来实现对各个点的检查。

【工具介绍】

程序自动获取系统的CPU,内存,磁盘的使用率以及当前在线用户信息。

参数-h 或 --help 获取工具使用说明

参数-user 检查系统账户情况

参数-history 会筛选出所有用户下的可疑历史命令

参数-cron 列出所有用户的定时任务

参数–cron-file 7 列出7天内被修改过的各个级别定时任务目录的脚本,输入参数值为天数,参数为必选。

参数-ip 用于查看进程中对外连接情况

参数–pid 2848 根据进程pid来获取进程物理路径等详细信息,输入参数值为进程的pid,参数为必选。

参数–ssh-fip 查看登录失败的ip以及对应的次数,可用于分析爆破情况

参数–ssh-fuser 查看登录失败的账户名以及对应的次数

参数–ssh-sip 查看登录成功的ip以及对应的次数

参数–ssh-sinfo 查看登录成功的详细记录

参数–starup 7 查看7天内被修改的启动项,输入的参数值为天数,参数为必选

参数–osfile 7 查看7天内被劫持的系统文件,输入的参数值为天数,参数为必选

参数–s-webshell /home 用于检测指定目录下的webshell,输入的参数值为网站绝对路径,参数为必选

参数–s-backdoor /home 用于检测指定目录下的恶意软件,输入的参数值为待检测目录绝对路径,参数为必选

【工具补充说明】

  1. webshell检测和恶意软件检测的规则库采用yara外置规则库,可自己随时更新,本次只放出来一些常见的规则库。

  2. 主程序名为“whohk”的二进制文件,上传后需要chmod +x whohk,加上执行权限。config下是纯真ip位置数据库,更新日期为20200920,也可以自行更新。

  3. 工具不含任何后门,自行选择是否使用。

  4. 自行对比

    **md5:**992516c25337663afb0af2b3ace184ab

    **SHA1:**75e81f0a3502d366d5454ca79642f4652cc97723

    **SHA256:**ef18c975d970f42e959560ff9718d258316bce8e5295034f987cc40eddf95432

  5. v0.1版本可能有些方面没考虑到,欢迎各位大佬提提意见,本工具会不断更新完善。

  6. 工具虽好,但不建议完全依赖于工具,应急场景各种各样都有,工具不一定能够面面俱到,有的时候还是得手工。

网络安全学习资源分享:

最后给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套200G学习资源包免费分享!

1.学习路线图

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取技术文档】

在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】

在这里插入图片描述

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

在这里插入图片描述

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

网安这样学
关注
whohk:whohk linux一款强大应急响应工具
03-08
"whohk:whohk Linux一款强大应急响应工具" 这个标题提到了“whohk”是一款专为Linux系统设计的应急响应工具。应急响应工具通常用于在系统受到安全威胁时,帮助管理员快速诊断、修复问题并收集证据。whohk可能是...
whohklinux一款强大应急响应工具__在linux下的应急响应往往需要通过繁琐的命令行来_whohk.zip
09-17
whohklinux一款强大应急响应工具__在linux下的应急响应往往需要通过繁琐的命令行来_whohk
开源攻防武器项目
Websec
07-08 4199
首先恭喜你发现了宝藏。本项目集成了全网优秀的开源攻防武器项目,包含信息收集工具(自动化利用工具、资产发现工具、目录扫描工具、子域名收集工具、指纹识别工具、端口扫描工具、各种插件....etc...),漏洞利用工具(各大CMS利用工具、中间件利用工具等项目........),内网渗透工具(隧道代理、密码提取.....)、应急响应工具、甲方运维工具、等其他安全攻防资料整理,供攻防双方使用。通用漏洞类:基础漏洞类:.........
Linux —— 网络基础(一)
学习C++的小陈同学
09-22 1011
本篇只是简单的建立一个关于网络的基本概念和框架,有很多概念上不太完整,只是自己为了自己在初入学习网络时的简单粗俗理解,方便后续深入的学习网络相关的知识,如果有需要纠错的地方,可以评论一起讨论。
Linux实践】实验四:Shell实用功能及文件权限
Fulling的博客
09-25 717
实验内容 1、使用命令“cat /etc/named.conf”设置为别名named,然后再取消别名。 2、使用echo命令和输出重定向创建文本文件/root/nn,内容是hello,然后再使用追加重定向输入内容为word。 3、使用管道方式分页显示/etc/passwd的内容。 4、分别用文字设定法和数字设定法,对/root/ab文件设置权限,所有者为读取、写入和执行权限,同组用户为读取和写入权限,其他用户没有任何权限。 5、将文件/root/ab所有者更改为用户zhangsan。 6、将目录/root/
Linux 安装redis主从模式+哨兵模式3台节点
一千个读者就有一千个哈姆雷特
09-27 201
Linux 安装redis主从模式+哨兵模式3台节点
linux 源代码编译
Lxn2zh的博客
09-27 1116
有时候会在linux上下载源码包,然后进行编译成可执行的文件,这个过程需要经过configure、make、make install、make clean四个步骤。configure 为这个程序在当前的操作系统环境下选择合适的编译器和环境参数来编译该代码。make install 将已编译好的可执行文件安装到操作系统指定或默认的安装目录下。make 对程序代码进行编译操作,会将源码编译成可执行的目标文件。make clean 删除编译时临时产生的目录或文件。
在新ARM板上移植U-Boot和Linux指南
最新发布
qq_37255138的博客
09-27 1065
基于i.MX6的模块,带有扩展板,以太网,I2C,SPI,NAND,eMMC,SD卡读卡器,USB设备,EEPROM,GPIO,UART,音频(I2S),HDMI,LVDS,PCIe,USB主机,RTC,电源管理集成电路(PMIC)
Linux ping c实现
xuyun0565的专栏
09-24 371
linux下ping程序的c实现。
Linux:共享内存】
2201_75755162的博客
09-19 729
共享内存不随着进程的结束就释放,因为共享内存不属于进程而属于操作系统,需要手动释放或者后续其它系统调用。共享内存的生命周期随内核。
Linux——pod的调度
Xinan_____的博客
09-27 715
CronJob 的名称必须是一个合法的 DNS 子域值, 但这会对 Pod 的主机名产生意外的结果。如果应用程序不需要任何稳定的标识符或有序的部署、删除或扩缩, 则应该使用由一组无状态的副本控制器提供的工作负载来部署应用程序,比如 Deployment 或者 ReplicaSet 可能更适用于你的无状态应用部署需要。尽管 StatefulSet 中的单个 Pod 仍可能出现故障, 但持久的 Pod 标识符使得将现有卷与替换已失败 Pod 的新 Pod 相匹配变得更加容易。
Linux---文件io
caiji0169的博客
09-25 1006
系统调用、open/close函数、read/write函数、文件描述符(PCB进程块)、阻塞和非阻塞、fcntl函数、lseek函数以及传入传出参数.........
Linux下永久修改hostname
weixin_41716656的博客
09-24 236
【代码】Linux下永久修改hostname。
【PostgreSQL】PostgreSQL数据库允许其他IP连接到数据库(Windows & Linux
h1773655323的博客
09-23 483
在“控制面板” > “系统和安全” > “Windows Defender防火墙” > “高级设置”中创建一个新的入站规则,允许。完成上述步骤后,外部IP应该可以连接到PostgreSQL数据库了。你需要在此文件中添加允许其他IP连接的配置。这表示允许数据库监听所有IP地址的连接请求。如果只想允许特定的IP连接,可以将。确保服务器上的防火墙允许PostgreSQL的端口(默认是。如果只允许特定IP连接,可以将。首先,需要修改PostgreSQL的主配置文件。,允许数据库监听所有IP的连接请求。
Linux 安装nginx
一千个读者就有一千个哈姆雷特
09-27 168
Linux 安装nginx
RHCSA认证-Linux(RHel9)-Linux入门
qq_35911309的博客
09-23 835
对于普通用户来说,优化Linux应用环境可能是相当具有挑战性的。它涵盖了各种领域,并且有许多参数需要考虑,比如CPU、存储、缓存策略和内存管理。尽管Linux有默认设置可以处理大多数情况和场景,但是对于高性能、高并发和高可用性系统等特殊场景,需要进行调整。本文讨论的特性是tuned,它是Linux系统中常用的一种调优服务调优方式:静态调整:内核参数针对整体性能预期而设置的,不会随实际负载变化而调整,但配 置简单。
Linux中的tr命令详解
qq_37263429的博客
09-26 224
Linux中的tr命令详解
AlmaLinux 安裝JDK8
wodetongnian的专栏
09-23 378
AlmaLinux 安裝JDK8
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值