0x00 工具介绍
Ashro_linux是Linux通用应急响应脚本工具。
0x01 下载链接
Ashro_linux下载链接: 夸克网盘分享
0x02 功能介绍
-
必须root权限运行
-
收集IP地址信息
-
查看正在登录的用户
-
查看/etc/passwd
-
检查是否存在超级用户
-
空口令账户检测
-
新增用户检查
-
新增用户组检查
-
检测sudoers文件中的用户权限
-
使用 visudo 命令查找具有 NOPASSWD 权限的用户
-
检查各账户下是否存在ssh登录公钥
-
账户密码文件权限检测
-
暴力破解攻击检测
-
查询正在监听的端口
-
检查建立的网络连接
-
检查是否存在系统进程
-
检测存在那些守护进程
-
CPU和内存使用率最高的进程排查(超过20%)
-
检查是否存在隐藏进程
-
检查反弹shell类进程
-
将进程对应的可执行文件保存到指定目录--webshell--沙箱检测
-
系统命令hash值打包---威胁情报MD5对比
-
检查正在运行的服务
-
检查系统文件的权限变更(一周内)
-
收集历史命令
-
用户自定义启动项排查
-
系统自启动项排查
-
危险启动项排查
-
系统定时任务分析
-
用户定时任务分析
-
检查最近24小时内有改变的文件(误报会很多)
-
cpu情况分析(占用前5)
-
日志分析
-
日志审核是否开启
-
打包日志(/var/log/*)全打包
-
secure日志分析(登录成功。登录失败,新增用户组)
-
message日志分析(传输文件情况)
-
cron日志分析(定时下载、定时执行)
-
btmp日志分析(错误登录日志)
-
lastlog日志分析(最后一次登录日志)
-
wtmp日志分析(历史登录本机用户)
-
Alias 后门检测
-
SSH 后门检测
-
SSH Wrapper 后门检测
-
检查 SSH 授权密钥文件是否包含可疑命令
-
检查特定目录中是否存在可疑文件
-
检查系统日志中是否包含可疑内容
-
防火墙配置检测
注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。