介绍

Whoamifuck（司稽，先秦时抓小偷滴官员），永恒之锋发布的第一款开源工具，这是一款由shell编写的检测入侵用户的工具，经过功能的更新，已经不仅限于检查用户的登入信息。

该工具目前实现的功能基本满足了应急响应的基本需求，后续将加入更多的入侵检测点，并完善代码。如有新的功能建议，可提issue，欢迎关注永恒之锋战队公众号。点个小star，我接着为大哥们挖掘新功能

项目：https://github.com/enomothem/Whoamifuck

5.0.1 批量更新

发布5.0.1版本，新增 『导出功能』 、优化 『用户登录日志』 、修复 『显示端口不存在用户导致错误』 、增加 『全量输出』 、优化 『标题栏』 代码  

新增 『导出功能』

在平时的应急响应工作中，经常遇到需要查大量的系统，但是一般都是通过远程的方式排查，环境差！网络卡！快捷键不友好！字体小得看花眼！日志多得如蚂蚁！复制粘贴老是出错！痛！太痛了。

所以，我们新增了导出功能，-o or --output即可导出全量日志，别说客户运维了，对面保安都会操作，再也不用担心沟通难的问题。你操作，我分析，省时省力，快速出结果，导出文本发过我，安全专家来分析，本地分析工具齐全，操作丝滑。

优化 『用户登录日志』

用户登录日志wc一下，13w行，正则不会用，只能一行一行看？熬夜把日志看完，客户还在催报告？没关系！没关系！全部给你处理好，使用全新伊诺之令关于ssh日志 3.0版本，一键启动，一令成图。

5.0版本并不支持centos，只针对debian系列进行解析auth.log，目前支持智能分析系统，再判断使用auth还是secure文件。

「伊诺之令」

在Shell代码中进行优化格式

显示效果

修复 『显示端口不存在用户导致错误』

显示开启端口时，会显示这样一个报错，这是因为203这个用户，但是某些进程是在这个用户变更前启动的，所以遗留了下来，暂时没啥好办法，使用-w不显示暂时解决问题。

增加 『全量输出』

新增全量输出，因为考虑输出需要全面，所以仅增加参数，目前暂时未完善，待后续开发更多功能，正式完成这个功能。因为没有一个参数是完整输出所有的，-n 仅输出基本的。

优化 『标题栏』 代码

使用分区存放的思想，代码更健康，便于读者阅读相关代码，读起来更容易懂。可以对其二次开发和修改。

5.0.2 批量更新

发布5.0.2版本，优化 『用户基本信息』 、修复  『某些环境DNS显示异常』 、 加速  『模块化』、增加 『secure文件可选』 、增加  『颜色定义区』

增加  『颜色定义区』

增加颜色定义，增加颜色更方便，更加容易抓住重点信息

增加 『secure文件可选』

更新可对secure文件进行指定。默认/var/log/secure

优化 『用户基本信息』

有了颜色的定义，增加色彩更方便，并增加时间戳，便于校验本地时间和回溯应急时间节点。

修复  『某些环境DNS显示异常』

在一些系统的DNS默认文件中，第一行是注释，所以显示成注释内的内容，从新对该命令进行正则优化，解决问题。

加速  『模块化』

由于本人早期没考虑后期增加功能点，导致维护困难，对代码进行重构，加速模块化，功能点函数化进程。

 

原文始发于微信公众号（Eonian Sharp）：【刻刀】蓝队Linux应急工具-司稽5.0.2更新