GScan:Linux Checklist自动化检测

最新推荐文章于 2024-05-17 10:58:37 发布
最新推荐文章于 2024-05-17 10:58:37 发布
阅读量880 收藏 2
点赞数
分类专栏: 应急响应
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39789796/article/details/116793848
版权

一、下载部署

git clone https://github.com/grayddq/GScan.git
cd /GSscan
python2 Gscan.py

二、CheckList的自动化检测项

1、主机信息获取

2、系统初始化alias检查

3、文件类安全扫描

3.1、系统重要文件完整行扫描

3.2、系统可执行文件安全扫描

3.3、临时目录文件安全扫描

3.4、用户目录文件扫描

3.5、可疑隐藏文件扫描

4、各用户历史操作类

4.1、境外ip操作类

4.2、反弹shell类

5、进程类安全检测

5.1、CUP和内存使用异常进程排查

5.2、隐藏进程安全扫描

5.3、反弹shell类进程扫描

5.4、恶意进程信息安全扫描

5.5、进程对应可执行文件安全扫描

6、网络类安全检测

6.1、境外IP链接扫描

6.3、恶意特征链接扫描

6.4、网卡混杂模式检测

7、后门类检测

7.1、LD_PRELOAD后门检测

7.2、LD_AOUT_PRELOAD后门检测

7.3、LD_ELF_PRELOAD后门检测

7.4、LD_LIBRARY_PATH后门检测

7.5、ld.so.preload后门检测

7.6、PROMPT_COMMAND后门检测

7.7、Cron后门检测

7.8、Alias后门

7.9、SSH 后门检测

7.10、SSH wrapper 后门检测

7.11、inetd.conf 后门检测

7.12、xinetd.conf 后门检测

7.13、setUID 后门检测

7.14、8种系统启动项后门检测

8、账户类安全排查

8.1、root权限账户检测

8.2、空口令账户检测

8.3、sudoers文件用户权限检测

8.4、查看各账户下登录公钥

8.5、账户密码文件权限检测

9、日志类安全分析

9.1、secure登陆日志

9.2、wtmp登陆日志

9.3、utmp登陆日志

9.4、lastlog登陆日志

10、安全配置类分析

10.1、DNS配置检测

10.2、Iptables防火墙配置检测

10.3、hosts配置检测

11、Rootkit分析

11.1、检查已知rootkit文件类特征

11.2、检查已知rootkit LKM类特征

11.3、检查已知恶意软件类特征检测

12.WebShell类文件扫描

12.1、WebShell类文件扫描

三、程序脚本说明:

GScan
----GScan.py #主程序
----log #日志和结果记录
----lib #模块库文件
-------core #调用库文件
----------common.py #公共库模块
----------globalvar.py #全局参数管理模块
----------option.py #参数管理模块
----------ip ##ip地址定位库
-------egg #yara打包动态库
-------malware #恶意特征库
-------plugins #检测插件模块库
----------Host_Info.py #主机信息获取
----------File_Analysis.py #文件类安全检测
----------History_Analysis.py #用户历史操作类
----------Proc_Analysis.py #进程类安全检测
----------Network_Analysis.py #网络类安全检测
----------Backdoor_Analysis.py #后门类检测
----------User_Analysis.py #账户类安全排查
----------Log_Analysis.py #日志类安全分析
----------Config_Analysis.py #安全配置类分析
----------Rootkit_Analysis.py #Rootkit分析
----------SSHAnalysis.py #secure日志分析
----------Webserver.py #获取当前web服务的web根目录
----------Webshell_Analysis.py #webshell检测
----------webshell_rule #webshell检测的规则
检测结果:
日志及结果目录默认:./GScan/log/gscan.log

四、运行效果

 python GScan.py

  _______      _______.  ______      ___      .__   __.
 /  _____|    /       | /      |    /   \     |  \ |  |    {version:v0.1}
|  |  __     |   (----`|  ,----'   /  ^  \    |   \|  |
|  | |_ |     \   \    |  |       /  /_\  \   |  . `  |    {author:咚咚呛}
|  |__| | .----)   |   |  `----. /  _____  \  |  |\   |
 \______| |_______/     \______|/__/     \__\ |__| \__|    http://grayddq.top



开始扫描当前系统安全状态...

主机信息获取
主机名:server01
主机IP:192.168.0.220
系统版本:Linux-3.10.0-957.el7.x86_64-x86_64-with-centos-7.6.1810-Core
主机时间:2021-05-14 15:35:58

检测系统初始化扫描
 [1]alias检查                           [ OK  ]

开始文件类安全扫描
 [1]系统重要文件hash对比                [ OK  ]
 [2]系统可执行文件安全扫描              [ OK  ]
 [3]系统临时目录安全扫描                [ OK  ]
 [4]各用户目录安全扫描                  [ 存在风险  ]
 [5]可疑隐藏文件扫描                    [ OK  ]

开始主机历史操作类安全扫描
 [1]所有历史操作的可疑记录              [ 存在风险  ]

开始进程类安全扫描
 [1]CUP和内存类异常进程排查             [ OK  ]
 [2]隐藏进程安全扫描                    [ OK  ]
 [3]反弹shell类进程扫描                 [ OK  ]
 [4]恶意进程信息安全扫描                [ OK  ]
 [5]exe程序安全扫描                     [ OK  ]

开始网络链接类安全扫描
 [1]当前网络对外连接扫描                [ OK  ]
 [2]恶意特征类链接扫描                  [ OK  ]
 [3]网卡混杂模式扫描                    [ OK  ]

开始恶意后门类安全扫描
 [1]LD_PRELOAD 后门检测                 [ OK  ]
 [2]LD_AOUT_PRELOAD 后门检测            [ OK  ]
 [3]LD_ELF_PRELOAD 后门检测             [ OK  ]
 [4]LD_LIBRARY_PATH 后门检测            [ OK  ]
 [5]ld.so.preload 后门检测              [ OK  ]
 [6]PROMPT_COMMAND 后门检测             [ OK  ]
 [7]cron定时任务后门检测                [ OK  ]
 [8]未知环境变量 后门检测               [ OK  ]
 [9]ssh 后门检测                        [ OK  ]
 [10]SSH wrapper 后门检测               [ OK  ]
 [11]inetd.conf 后门检测                [ OK  ]
 [12]xinetd.conf 后门检测               [ OK  ]
 [13]setuid 后门检测                    [ OK  ]
 [14]系统启动项后门检测                 [ OK  ]

开始账户类安全扫描
 [1]root权限账户安全扫描                [ OK  ]
 [2]特权组账户安全扫描                  [ OK  ]
 [3]空口令账户安全扫描                  [ OK  ]
 [4]sudoers权限安全扫描                 [ OK  ]
 [5]账户免密码证书安全扫描              [ 警告  ]
 [6]账户密码文件扫描                    [ OK  ]

开始日志类安全扫描
 [1]secure日志安全扫描                  [ OK  ]
 [2]wtmp日志日志安全扫描                [ OK  ]
 [3]utmp日志日志安全扫描                [ OK  ]
 [4]lastlog日志日志安全扫描             [ OK  ]

开始配置类安全扫描
 [1]DNS设置扫描                         [ 警告  ]
 [2]防火墙设置扫描                      [ OK  ]
 [3]hosts设置扫描                       [ OK  ]

开始Rootkit类安全扫描
 [1]55808 Variant A                     [ OK  ]
 [2]Adore Rootkit                       [ OK  ]
 [3]AjaKit Rootkit                      [ OK  ]
 [4]aPa Kit Rootkit                     [ OK  ]
 [5]Apache Worm                         [ OK  ]
 [6]Ambient Rootkit                     [ OK  ]
 [7]Balaur Rootkit                      [ OK  ]
 [8]Beastkit Rootkit                    [ OK  ]
 [9]beX2 Rootkit                        [ OK  ]
 [10]BOBkit Rootkit                     [ OK  ]
 [11]OSX Boonana-A Trojan               [ OK  ]
 [12]cb Rootkit                         [ OK  ]
 [13]CiNIK Worm                         [ OK  ]
 [14]CX Rootkit                         [ OK  ]
 [15]Abuse Kit                          [ OK  ]
 [16]Devil Rootkit                      [ OK  ]
 [17]Diamorphine LKM                    [ OK  ]
 [18]Dica-Kit Rootkit                   [ OK  ]
 [19]Dreams Rootkit                     [ OK  ]
 [20]Duarawkz Rootkit                   [ OK  ]
 [21]Ebury sshd backdoor                [ OK  ]
 [22]ENYE LKM                           [ OK  ]
 [23]Flea Rootkit                       [ OK  ]
 [24]FreeBSD Rootkit                    [ OK  ]
 [25]Fu Rootkit                         [ OK  ]
 [26]Fuckit Rootkit                     [ OK  ]
 [27]GasKit Rootkit                     [ OK  ]
 [28]Heroin LKM                         [ OK  ]
 [29]HjC Kit Rootkit                    [ OK  ]
 [30]ignoKit Rootkit                    [ OK  ]
 [31]iLLogiC Rootkit                    [ OK  ]
 [32]OSX Inqtana Variant A              [ OK  ]
 [33]OSX Inqtana Variant B              [ OK  ]
 [34]OSX Inqtana Variant C              [ OK  ]
 [35]IntoXonia-NG Rootkit               [ OK  ]
 [36]Irix Rootkit                       [ OK  ]
 [37]Jynx Rootkit                       [ OK  ]
 [38]Jynx2 Rootkit                      [ OK  ]
 [39]KBeast Rootkit                     [ OK  ]
 [40]OSX Keydnap backdoor               [ OK  ]
 [41]Kitko Rootkit                      [ OK  ]
 [42]Knark Rootkit                      [ OK  ]
 [43]OSX Komplex Trojan                 [ OK  ]
 [44]ld-linuxv rootkit                  [ OK  ]
 [45]Lion Worm                          [ OK  ]
 [46]Lockit Rootkit                     [ OK  ]
 [47]Mokes backdoor                     [ OK  ]
 [48]MRK RootKit                        [ OK  ]
 [49]Mood-NT Rootkit                    [ OK  ]
 [50]Ni0 Rootkit                        [ OK  ]
 [51]Ohhara Rootkit                     [ OK  ]
 [52]Optic Kit Rootkit                  [ OK  ]
 [53]OSXRK                              [ OK  ]
 [54]Oz Rootkit                         [ OK  ]
 [55]Phalanx Rootkit                    [ OK  ]
 [56]Phalanx2 Rootkit                   [ OK  ]
 [57]Portacelo Rootkit                  [ OK  ]
 [58]OSX Proton backdoor                [ OK  ]
 [59]R3dstorm Toolkit                   [ OK  ]
 [60]RH-Sharpe Rootkit                  [ OK  ]
 [61]RSHA Rootkit                       [ OK  ]
 [62]Shutdown Rootkit                   [ OK  ]
 [63]Scalper Worm                       [ OK  ]
 [64]SHV4 Rootkit                       [ OK  ]
 [65]SHV5 Rootkit                       [ OK  ]
 [66]Sin Rootkit                        [ OK  ]
 [67]Slapper Worm                       [ OK  ]
 [68]Sneakin Rootkit                    [ OK  ]
 [69]Solaris Wanuk backdoor             [ OK  ]
 [70]Solaris Wanuk Worm                 [ OK  ]
 [71]Spanish Rootkit                    [ OK  ]
 [72]Suckit Rootkit                     [ OK  ]
 [73]NSDAP Rootkit                      [ OK  ]
 [74]SunOS Rootkit                      [ OK  ]
 [75]Superkit Rootkit                   [ OK  ]
 [76]TBD(Telnet Backdoor)               [ OK  ]
 [77]TeLeKiT Rootkit                    [ OK  ]
 [78]OSX Togroot Rootkit                [ OK  ]
 [79]T0rn Rootkit                       [ OK  ]
 [80]trNkit Rootkit                     [ OK  ]
 [81]Trojanit Kit Rootkit               [ OK  ]
 [82]Turtle Rootkit                     [ OK  ]
 [83]Tuxtendo Rootkit                   [ OK  ]
 [84]Universal Rootkit                  [ OK  ]
 [85]VcKit Rootkit                      [ OK  ]
 [86]Vampire Rootkit                    [ OK  ]
 [87]Volc Rootkit                       [ OK  ]
 [88]weaponX                            [ OK  ]
 [89]Xzibit Rootkit                     [ OK  ]
 [90]X-Org SunOS Rootkit                [ OK  ]
 [91]zaRwT.KiT Rootkit                  [ OK  ]
 [92]ZK Rootkit                         [ OK  ]
 [93]Miscellaneous login backdoors      [ OK  ]
 [94]Sniffer log                        [ OK  ]
 [95]Suspicious dir                     [ OK  ]
 [96]Apache backdoor                    [ OK  ]
 [97]检测LKM内核模块                    [ OK  ]

开始Webshell安全扫描
 [1]Webshell安全扫描                    [ OK  ]
------------------------------
根据系统分析的情况,溯源后的攻击行动轨迹为:
[起点信息] 进程服务6893/sshd 端口0.0.0.0:22 对外部公开,可能会被作为入侵起点,属于排查参考方向
[起点信息] 进程服务6893/sshd 端口:::22 对外部公开,可能会被作为入侵起点,属于排查参考方向
[起点信息] 进程服务7001/master 端口::1:25 对外部公开,可能会被作为入侵起点,属于排查参考方向
[1][可疑] 黑客在2020-12-25 13:46:38时间,进行了账户修改设置,用户root存在免密登录的证书,证书客户端名称:root@server01 & root@server02
[2][风险] 黑客在2021-04-23 17:09:43时间,植入了恶意文件/root/.bash_history,反弹shell类:curl -sSL https://get.daocloud.io/daotools/set_mirror.sh | sh -s http://a7d80d83.m.daocloud.io
[3][风险] 黑客在2021-04-30 15:31:56时间,进行了恶意操作,反弹shell类:curl -sSL https://get.daocloud.io/daotools/set_mirror.sh | sh -s http://a7d80d83.m.daocloud.io
[4][可疑] 黑客在2021-05-14 11:06:53时间,进行了DNS安全配置变更,DNS设置为境外IP: 114.114.114.114

------------------------------
扫描完毕,扫描结果已记入到 /root/GScan/log/gscan.log 文件中,请及时查看
liujun-blog
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
应急响应-Linux入侵排查(工具篇)
lza20001103的博客
05-07 2471
Linux入侵排查(工具篇)
LinuxEmergency:应急工具
05-02
LinuxEmergency Linux下的应急工具,支持CentOS系统和RedHat系统,安装方法: git clone https://github.com/cisp/LinuxEmergency.git cd LinuxEmergency sh ./install.sh 要求root权限 查看操作系统信息: [root@centos emergency]# python emergency.py -o 内核版本 : Linux-3.10.0-514.26.2.el7.v7.4.qihoo.x86_64-x86_64-with-centos-7.2.1511-Core CORE数量 : 16 CPU数量 : 16 CPU使用率 : scputimes(user=1.0, nice=0.0, system=0.0, idl
GScan 工具使用指南:自动化排查 Linux 系统后门的详细步骤
最新发布
weixin_43822401的博客
05-17 621
通过上述步骤,你可以更详细地了解如何使用 GScan 工具来自动化排查 Linux 系统中的后门和其他安全隐患。使用以下命令运行 GScan 工具的快速检查模式,这将快速检查系统并给出初步处理方案。首先,从 GitHub 上下载 GScan 工具的压缩包,并解压到本地目录。如果需要执行更彻底的检查,可以使用完全模式,但请注意这可能会消耗更多的时间。根据 GScan 提供的报告和建议,进行必要的安全加固和清理工作。如果需要对异常点进行手工排查,可以使用排查建议模式。参数来查看 GScan 工具的使用选项。
linux 应急响应工具整理列表
securitypaper的博客
07-02 777
linux 应急响应工具整理列表
linux-checklist命令行
RuanJian_GC的博客
09-13 400
如果你觉得linux常用的命令行太长或者太难记,则可以用别名来替代,这样每次只需要输入别名command2;command3'注意 “newName” 和 “=” 之间是没有空格存在的.下次我们想运行 command1,comman2,command3 时,即可直接输入 newName需要注意的是,直接在命令行中定义的别名只是暂时的,如果关闭了终端,再次打开终端时,别名就消失了,如要长期保持别名存在,需要在系统文件中定义.操作 描述-delete 删除当前匹配的文件。
一款Windows和Linux下应急响应工具
公众号:乌云安全
02-11 340
2、输入参数s,即对服务器中的端口、账户、当前用户、系统版本、网络信息、历史命令、进程、启动项、计划任务、登录情况等信息进行收集并将结果放置在工具当前目录中相对于名称的TXT文本中;、防火墙开启状态、RDP连接记录、共享开启状态、所有账户(包括隐藏账户)、hosts文件、Prefetch文件、安全日志、2、输入y,即可对端口信息、进程信息、IP、补丁信息、系统信息、计划任务、已安装软件、1、工具放到当前目录中,输入密码:Tes.lo01,选择y进入下一步;、应用程序日志、PowerShell日志进行收集;
GScan:本程序旨在为安全应急响应人员对Linux主机排查时提供便利,实现主机侧清单的自动全面化检测,根据检测结果自动数据聚合,进行黑客攻击路径溯源
02-06
本程序初步为安全应急响应人员对Linux主机排查时提供便利,实现主机侧清单的自动全面化检测,根据检测结果自动数据聚合,进行黑客攻击路径溯源。 作者 咚咚呛 CheckList检测自动化程序的CheckList项如下: 1、...
multimodal_seq2seq_gSCAN:Grounded SCAN论文中使用的多模式序列对基线神经模型进行排序
03-21
接地SCAN的神经基线和GECA 该存储库包含具有CNN的多模式神经序列到序列模型,用于解析世界状态并共同关注输入指令序列和世界状态。该模型在中进行详细说明,并在下图中以图形方式进行了描绘: TL;...
gscan_quic:Google Quic 扫描工具
05-22
gscan-quic 一个 IP 可用性扫描工具 当前支持 QUIC SNI TLS PING SOCKS4/SOCKS4A/SOCKS5 简单说明 因为支持多种类型的IP扫描, 所以 IP 段文件是分开放的. 比如 quic 的IP段文件是 iprange_quic.txt, tls 的就是...
gscan.rar_gscan2是什么_多线程扫描
09-21
gscan2是一个基于C++编写的网络扫描程序,它的主要功能是对指定的目标IP地址或网络段进行端口扫描,检测开放的服务。由于采用了多线程技术,gscan2能够同时发起多个扫描请求,提高了扫描效率。然而,值得注意的是,...
Linux桌面的4种扫描工具
09-15
Linux操作系统中,尽管许多扫描仪的制造商并未提供官方的Linux驱动程序,但这并不意味着Linux用户无法使用扫描仪。实际上,Linux提供了多个...通过这些开源工具,Linux用户可以在无纸化办公中充分发挥扫描仪的作用。
探索GScan:一款强大的静态代码扫描工具
gitblog_00061的博客
03-23 454
探索GScan:一款强大的静态代码扫描工具 项目地址:https://gitcode.com/grayddq/GScan 项目简介 GScan 是一个由 GrayDDQ 开发的开源项目,它是一款针对 Go 语言的静态代码分析工具。GScan 的主要目标是帮助开发者在编码阶段发现潜在的问题和不规范之处,从而提升代码质量和安全性。 技术分析 GScan 利用了 Go 语言的反射(reflection)...
Linux 应急响应辅助笔记
VVzv的博客
04-25 4214
目录导航0x00 前言:0x01 应急自动化工具:GScan:河马:chkrootkit:在线沙箱:0x02 排查可能被替换的文件:0x03 可疑用户排查:0x04 定时任务排查:0x05 进程排查:0x06 查看网络连接:0x07 历史命令排查:0x08 登录日志排查:0x09 SSH异常密钥排查:0x0A 启动服务排查:0x0B 寻找特定时间的文件0x0C 流量提取:0x0D 内存dump数据:0x0E 服务器威胁排查技巧:挖矿病毒特征:木马后门特征:WebShell(网页木马)特征:一些分析技巧:Li
Linux系统 应急响应自动化检测工具 GScan ——使用教程
W小哥
04-15 6297
项目地址: https://github.com/grayddq/GScan 一、GScan简单介绍 GScan 旨在为安全应急响应人员对 Linux 系统排查时提供便利,实现主机侧 Checklist(检查表) 的自动全面化检测,根据检测结果自动数据聚合,进行黑客攻击路径溯源。 二、GScan检查项 自动化程序的CheckList项如下: 1、主机信息获取 2、系统初始化alias检查 3、文件类安全扫描 3.1、系统重要文件完整行扫描 3.2、系统可执行文件安全扫描 3.3、临时目录文
「干货」Linux 应急响应日志分析命令「详细总结」
橙留香Park的博客
02-25 6249
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
20+应急响应工具包合集(附下载地址)
门柚的博客
05-13 1193
今天分享一批多平台可用的应急响应工具,能够在应急响应时快速发现问题以便于深入分析,同时有些工具也可用于个人电脑,让自己的电脑免受病毒及流氓软件的侵扰。
Linux cheklist 部分的检查项
GinChou的萌新博客
09-01 851
今天遇到对线上的服务器进行了一次检查 遇到了如下的检查项,记录以作参考: 编号 分类 检查选项   评估操作示例 现状描述 1.1 系统及补丁情况 系统的版本大于2.6.x Linux C5-3_Kafka01.cnpc.com.cn 2.6.32-431.el6.x86_64 #1 SMP Sun Nov 10 22:19:54 EST...
linux kernel 提交patch checklist
o_alpha的博客
06-25 358
`CONFIG_DEBUG_SLAB``, ``CONFIG_DEBUG_PAGEALLOC``, ``CONFIG_DEBUG_MUTEXES``, ``CONFIG_DEBUG_SPINLOCK``, ``CONFIG_DEBUG_ATOMIC_SLEEP``, ``CONFIG_PROVE_RCU`` and ``CONFIG_DEBUG_OBJECTS_RCU_HEAD`` 全部同时使用.b) 传递 ''allnoconfig'', 'allmodconfig''
一款批量Linux应急响应检查工具
yy1715713348的博客
12-19 899
fireman用于在维护多台服务器并且需要定时检查服务器状态的场景下。使用自带命令可一键获取相关资源信息,排查服务器是否存在可疑用户、非法外连、文件更改等高危事件。使用。
kali如何安装GScan
05-13
GScan是一个基于Python的Web应用程序安全扫描器。安装GScan需要以下步骤: 1.首先,打开终端并更新系统:sudo apt update 2.安装Python和pip包管理器:sudo apt install python python-pip 3.使用pip安装GScan:sudo pip install gscan 4.安装完成后,可以使用以下命令运行GScan:gscan 5.如果提示“gscan: command not found”错误,需要将GScan程序添加到系统路径中。可以通过编辑.bashrc文件来实现,添加以下行并保存:export PATH=$PATH:/usr/local/bin 6.重新打开终端并输入gscan命令即可开始使用GScan。 注意:在使用GScan之前,需要先了解Web应用程序安全扫描器的基本知识,并且仅在授权范围内使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值