说明
Linux
应急响应工具。推荐联网使用。
使用
$ python3 main.py > 1.日志
检查项目
系统信息
系统初始化安全
alias
命令检查
账户安全
是否存在空密码账户
检查被设置了密码的用户
是否存在
SUID
为0
的非root
用户是否存在帐户策略限制
是否设置账号
检查当前登陆的用户
sudo
用户权限检测免密登陆用户检测
账户密码文件权限检测
文件安全
指定预先增加或修改的文件
系统重要的文件检查
系统恶意文件检查
系统临时目录检查
系统各用户目录检查
可疑隐藏文件检查
用户操作历史分析
反弹
Shell
操作远程下载操作
提前
CPU
使用率检测内存使用率检测
隐藏进度检查
反弹
Shell
进程检查进度同步文件扫描
网路
网络链接检测
网卡随机模式检测
后门
环境变量后门检测
ld.so.preload
后门检测crontab
后门检测SSH Wrapper
后门inetd
,xinetd
服务后门SUID
提权后门系统启动项后门
局限
文件安全
在分析恶意命令时候,可能不同机子上命令的版本不同,造成命令
Hash
值与保存的命令Hash
替换,存在误报现象。如果作为HIDS
能很好解决,如果作为应急响应脚本会出现误报。
反弹
Shell
检测反弹
Shell
的检测是针对一些关键字进行提取来检测是否存在反弹Shell
,可能会存在无法正确匹配。
Linux应急响应工具地址:
https://github.com/BrownFly/HostSecurity