通过 GScan 工具自动排查后门

最新推荐文章于 2024-03-23 09:45:24 发布
最新推荐文章于 2024-03-23 09:45:24 发布
阅读量787 收藏 10
点赞数 18
分类专栏: 网络安全专栏 运维文档 文章标签: linux 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44143876/article/details/135832253
版权

一、简介

GScan 是一款为安全应急响应提供便利的工具,自动化监测系统中常见位置。
工具运行环境:CentOS (6、7) + python (2.x、3.x)

工具检查项目: 
1、主机信息获取 
2、系统初始化 alias 检查 
3、文件类安全扫描 
 3.1、系统重要文件完整行扫描 
 3.2、系统可执行文件安全扫描 
 3.3、临时目录文件安全扫描 
 3.4、用户目录文件扫描 
 3.5、可疑隐藏文件扫描 
4、各用户历史操作类 
 4.1、境外 ip 操作类 
 4.2、反弹 shell 类 
5、进程类安全检测 
 5.1、CUP 和内存使用异常进程排查 
 5.2、隐藏进程安全扫描 
 5.3、反弹 shell 类进程扫描 
 5.4、恶意进程信息安全扫描 
 5.5、进程对应可执行文件安全扫描 
6、网络类安全检测 
 6.1、境外 IP 链接扫描 
 6.3、恶意特征链接扫描
 6.4、网卡混杂模式检测 
7、后门类检测 
 7.1、LD_PRELOAD 后门检测 
 7.2、LD_AOUT_PRELOAD 后门检测 
 7.3、LD_ELF_PRELOAD 后门检测 
 7.4、LD_LIBRARY_PATH 后门检测 
 7.5、ld.so.preload 后门检测 
 7.6、PROMPT_COMMAND 后门检测 
 7.7、Cron 后门检测 
 7.8、Alias 后门 
 7.9、SSH 后门检测 
 7.10、SSH wrapper 后门检测 
 7.11、inetd.conf 后门检测 
 7.12、xinetd.conf 后门检测 
 7.13、setUID 后门检测 
 7.14、8 种系统启动项后门检测 
8、账户类安全排查 
 8.1、root 权限账户检测 
 8.2、空口令账户检测 
 8.3、sudoers 文件用户权限检测 
 8.4、查看各账户下登录公钥 
 8.5、账户密码文件权限检测 
9、日志类安全分析 
 9.1、secure 登陆日志 
 9.2、wtmp 登陆日志 
 9.3、utmp 登陆日志 
 9.4、lastlog 登陆日志 
10、安全配置类分析 
 10.1、DNS 配置检测 
 10.2、Iptables 防火墙配置检测 
 10.3、hosts 配置检测 
11、Rootkit 分析 
 11.1、检查已知 rootkit 文件类特征 
 11.2、检查已知 rootkit LKM 类特征 
 11.3、检查已知恶意软件类特征检测 
12.WebShell 类文件扫描 
 12.1、WebShell 类文件扫描

二、GScan测试环境

系统:CentOS (6、7)+ python (2.x、3.x)
权限:root权限启动
执行时间:默认安全扫描大概执行时间为4~ 6分钟,完全扫描在1~2小时之间,程序执行时间的长度由检测文件的多少决定,有可能会存在较长的时间,请耐心等待
兼容性:目前程序只针对Centos进行开发测试,其他系统并未做兼容性,检测结果未知

三、 GScan 下载

工具下载地址:https://github.com/grayddq/GScan
使用git下载

git clone https://github.com/grayddq/GScan.git

四、使用GScan

[root@iZt4nac2kg749th5tfo41xZ ~] unzip GScan-master.zip 
[root@iZt4nac2kg749th5tfo41xZ ~] cd GScan-master

帮助信息。

[root@iZt4nac2kg749th5tfo41xZ GScan-master]# python GScan.py --help 
Options: 
 -h, --help show this help message and exit 
 --version 当前程序版本 
 
 Mode: 
 GScan running mode options 
 
 --overseas 境外模式,此参数将不进行境外 ip 的匹配 
 --full 完全模式,此参数将启用完全扫描 
 --debug 调试模式,进行程序的调试数据输出 
 --dif 差异模式,比对上一次的结果,输出差异结果信息。 
 --sug 排查建议,用于对异常点的手工排查建议 
 --pro 处理方案,根据异常风险生成初步的处理方案 
 
 Optimization: 
 Optimization options 
 
 --time=TIME 搜索指定时间内主机改动过的所有文件,demo: --time='2019-05-07 
 00:00:00~2019-05-07 23:00:00' 
 --job 添加定时任务,用于定时执行程序(默认每天零点执行一次) 
 --hour=HOUR 定时任务,每 N 小时执行一次 
 --log 打包当前系统的所有安全日志(暂不支持) 
 
 
--pro 快速检查并给出初步处理方案,完整检查 --full 比较耗时间。

GScan默认安全扫描

–pro 快速检查并给出初步处理方案,完整检查 --full 比较耗时间。

[root@iZt4nac2kg749th5tfo41xZ GScan-master] python GScan.py --pro #--pro可加也可不加

在这里插入图片描述
工具会自动分析系统日志以及系统中账户配置存在哪些安全问题并给出初步处理方案。这里工具仅排
查系统相关,对中间件等应用服务日志没有进行分析处理。

执行完之后,会生成/GScan/log/gscan.log 文件,详细记录分析结果,例如:被植入的shell、修改的文件、可能被攻击的位置

查看 gscan.log 文件,可以看到自动化检测的结果
1、被修改的文件
在这里插入图片描述
2、存在的弱点位置,可能被攻击的位置
在这里插入图片描述

3、网站被植入的后门、以及反弹shell的时间
在这里插入图片描述

GScan完全扫描

[root@iZt4nac2kg749th5tfo41xZ GScan-master] python GScan.py --full

执行完之后,会生成/GScan/log/gscan.log 文件

仲夏那片海
关注
  • 18
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
gscan_quic:Google Quic 扫描工具
05-22
gscan-quic 一个 IP 可用性扫描工具 当前支持 QUIC SNI TLS PING SOCKS4/SOCKS4A/SOCKS5 简单说明 因为支持多种类型的IP扫描, 所以 IP 段文件是分开放的. 比如 quic 的IP段文件是 iprange_quic.txt, tls 的就是 iprange_tls.txt 其他类型的都可以在 config.json 文件里看到 IP段文件格式如下: # 下面几种都是支持的, 遇到错误IP格式是会跳过的 1.9.23.0 1.9.23.0/24 1.9.0.0/16 1.9.22.0-1.9.23.0/24 1.9.22.0/24-1.9.33.0/24 1.9.22.0-255 1.9.22.0-1.9.22.0 1.9.22.0-1.9.22.255 1.9.22.0-1.9.33.255 1.9.2
GScan:本程序旨在为安全应急响应人员对Linux主机排查时提供便利,实现主机侧清单的自动全面化检测,根据检测结果自动数据聚合,进行黑客攻击路径溯源
02-06
GScan v0.1 本程序初步为安全应急响应人员对Linux主机排查时提供便利,实现主机侧清单的自动全面化检测,根据检测结果自动数据聚合,进行黑客攻击路径溯源。 作者 咚咚呛 CheckList检测项 自动化程序的CheckList项如下: 1、主机信息获取 2、系统初始化alias检查 3、文件类安全扫描 3.1、系统重要文件完整行扫描 3.2、系统可执行文件安全扫描 3.3、临时目录文件安全扫描 3.4、用户目录文件扫描 3.5、可疑隐藏文件扫描 4、各用户历史操作类 4.1、境外ip操作类 4.2、反弹shell
探索GScan:一款强大的静态代码扫描工具
最新发布
gitblog_00061的博客
03-23 395
探索GScan:一款强大的静态代码扫描工具 项目地址:https://gitcode.com/grayddq/GScan 项目简介 GScan 是一个由 GrayDDQ 开发的开源项目,它是一款针对 Go 语言的静态代码分析工具GScan 的主要目标是帮助开发者在编码阶段发现潜在的问题和不规范之处,从而提升代码质量和安全性。 技术分析 GScan 利用了 Go 语言的反射(reflection)...
gscan2pdf-开源
07-02
用于简化从扫描生成多页 PDF 的过程的 GUI。 gscan2pdf 几乎可以在任何 Linux/BSD 机器上运行。
gscan_quic-master.zip
12-08
ctf-wscan-master.zip
gscan.rar_gscan2是什么_多线程扫描
09-21
一个多线程扫描器。速度很慢,实用性不强,但对于SOCKET初学者来说,有一定的参考价值。
Linux应急响应Gscan使用
SHELLCODE_8BIT的博客
07-10 3334
工具检查项目如下: 使用方法如下:
Linux系统 应急响应自动化检测工具 GScan ——使用教程
W小哥
04-15 6028
项目地址: https://github.com/grayddq/GScan 一、GScan简单介绍 GScan 旨在为安全应急响应人员对 Linux 系统排查时提供便利,实现主机侧 Checklist(检查表) 的自动全面化检测,根据检测结果自动数据聚合,进行黑客攻击路径溯源。 二、GScan检查项 自动化程序的CheckList项如下: 1、主机信息获取 2、系统初始化alias检查 3、文件类安全扫描 3.1、系统重要文件完整行扫描 3.2、系统可执行文件安全扫描 3.3、临时目录文
复现一篇16分的孟德尔随机化文章
dege857的博客
08-08 5846
作者分析了两个指标,一个是吸烟指数、第二个是每周饮酒量,对这两个指标进行多变量分析,多变量孟德尔随机化考虑了两个变量的相互影响,简单来说可以把另外的当做混杂因素。最后我个人总结一下自己的看法,孟德尔随机化分析要想发高分,主要还是在前期自己大量的数据收集和汇总,代码不是很难,一定要像文章中做多个数据库的,最好同时做单变量和多变量的。这是一篇老外的文章,咱们试着复现一下文章的数据和图表,和上一篇一样,作者和上一篇一样也是给咱们提供了详尽的数据和R的代码,我们可以跟着作者的思路进行一个复盘。
值得收藏几个Web木马后门查杀扫描工具
学习笔记2378的博客
06-14 3343
现在网络很多分享的源码或模板都带有后门,对于小白来讲在源码或模板加上了一句话木马根本察觉不了,更多的也不会细心的去检查每个文件,所以就收藏了这几个WEB木马在线查杀的工具方便检查,虽然做不到100%但也可以查出95%以上的木马,正式建站前,在把每个文件夹的权限设置好,需要777和775权限的文件或文件夹人工仔细检查一遍。......
php后门查询工具
11-03
php源码修改工具,欢迎分享,有需要的下载把,请大家给个好评,谢谢了
后门查杀工具
10-08
暗组安全Web杀毒是国内率先推出的一款启发式web代码查杀软件 独创的智能双擎扫描技术能有效扫描asp、php、jsp、aspx等多种WebShell及畸形文件及文件夹 弥补了通常杀毒软件不能完全查杀的不足
Safe3网站后门扫描工具 v4.1.1
10-30
Safe3网站后门扫描工具是国内率先推出的一款绿色完全免费的web代码查杀软件,独创的智能扫描技术能有效扫描asp、php、jsp、aspx等多种WebShell,弥补了通常杀毒软件不能完全查杀WebShell的不足,给广大站长带来了福音. Safe3网站后门扫描工具 v4.1.1更新内容: 1.大幅减少误报 2.增强webshell查杀功能
安全伞标准版(超强web后门扫描工具
10-17
虽然现在已有防火墙、杀毒、入侵检测等安全防范手段,但防火墙对Web入侵基本没有作用,杀毒软 件更是对变形webshell显得无力,SQL注入稍微变形就可绕过传统IDS,由此导致的网页被篡改或挂 马屡见不鲜。目前专门针对Web安全的工具还很少,而像中国中央政府门户网站所使用的iGuard网页 防篡改系统又贵的惊人,由此诞生了一款任何人都用得起的轻量级实用的反黑工具-安全伞。 与国内同类产品相比,安全伞虽然价格低廉,但功能却毫不逊色,而且支持间接短信发送功能 (目前其它产品很少支持),发短信有很多好处,特别是那些服务器数据比较重要的朋友,一发现黑 客入侵就可立刻采取措施。同时集成了多种实用功能,让网站管理变得更加轻松。 运行此软件需安装Microsoft .NET Framework 2.0,下载地址: http://dl.pconline.com.cn/html_2/1/82/id=10637&pn=0.html
Greenplum数据库源码分析——Standby Master操作工具分析
肥叔菌的博客
08-01 833
GreenplumStandby节点用于当Master节点损坏时提供Master服务。Standby实时与Master节点的Catalog和事务日志保持同步。在GreenplumStandbyMaster节点失效时,使用gpinitstandby命令配置一个新的Standby。在当前活动的Master主机上运行这个命令。。。在GreenplumStandbyMaster节点失效或不需要时,可以通过删除StandbyMaster节点。...
应急响应-Linux入侵排查工具篇)
lza20001103的博客
05-07 2433
Linux入侵排查工具篇)
GScan:Linux Checklist自动化检测
weixin_39789796的博客
05-14 834
一、下载部署 git clone https://github.com/grayddq/GScan.git cd /GSscan python2 Gscan.py 二、CheckList的自动化检测项 1、主机信息获取 2、系统初始化alias检查 3、文件类安全扫描 3.1、系统重要文件完整行扫描 3.2、系统可执行文件安全扫描 3.3、临时目录文件安全扫描 3.4、用户目录文件扫描 3.5、可疑隐藏文件扫描 4、各用户历史操作类 4.1、境外ip操作类 4.2、反弹shell类 5、进程类安全检测
Greenplum 实时数据仓库实践(9)——Greenplum监控与运维
wzy0623的专栏
01-14 2301
目录 9.1 权限与角色管理 9.1.1 Greenplum中的角色与权限 9.1.2 管理角色及其成员 9.1.3 管理对象权限 9.1.4 口令加密 9.2 数据导入导出 9.2.1 file协议及其外部表 9.2.2 gpfdist协议及其外部表 9.2.3 基于Web的外部表 9.2.4 外部表错误处理 9.2.5 使用gpload导入数据 9.2.6 使用COPY互拷数据 9.2.7 导出数据 9.2.8 格式化数据文件 9.3 性能优化 9.3.1 常用优化手段
kali如何安装GScan
05-13
GScan是一个基于Python的Web应用程序安全扫描器。安装GScan需要以下步骤: 1.首先,打开终端并更新系统:sudo apt update 2.安装Python和pip包管理器:sudo apt install python python-pip 3.使用pip安装GScan:sudo pip install gscan 4.安装完成后,可以使用以下命令运行GScangscan 5.如果提示“gscan: command not found”错误,需要将GScan程序添加到系统路径中。可以通过编辑.bashrc文件来实现,添加以下行并保存:export PATH=$PATH:/usr/local/bin 6.重新打开终端并输入gscan命令即可开始使用GScan。 注意:在使用GScan之前,需要先了解Web应用程序安全扫描器的基本知识,并且仅在授权范围内使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值