介绍
Whoamifuck(司稽,先秦时抓小偷滴官员),永恒之锋发布的第一款开源工具,这是一款由shell编写的检测入侵用户的工具,经过功能的更新,已经不仅限于检查用户的登入信息。
该工具目前实现的功能基本满足了应急响应的基本需求,后续将加入更多的入侵检测点,并完善代码。如有新的功能建议,可提issue,欢迎关注永恒之锋战队公众号。点个小star,我接着为大哥们挖掘新功能
项目:https://github.com/enomothem/Whoamifuck
5.0.1 批量更新
发布5.0.1版本,新增 『导出功能』 、优化 『用户登录日志』 、修复 『显示端口不存在用户导致错误』 、增加 『全量输出』 、优化 『标题栏』 代码
新增 『导出功能』
在平时的应急响应工作中,经常遇到需要查大量的系统,但是一般都是通过远程的方式排查,环境差!网络卡!快捷键不友好!字体小得看花眼!日志多得如蚂蚁!复制粘贴老是出错!痛!太痛了。
所以,我们新增了导出功能,-o or --output即可导出全量日志,别说客户运维了,对面保安都会操作,再也不用担心沟通难的问题。你操作,我分析,省时省力,快速出结果,导出文本发过我,安全专家来分析,本地分析工具齐全,操作丝滑。
优化 『用户登录日志』
用户登录日志wc一下,13w行,正则不会用,只能一行一行看?熬夜把日志看完,客户还在催报告?没关系!没关系!全部给你处理好,使用全新伊诺之令关于ssh日志 3.0版本,一键启动,一令成图。
5.0版本并不支持centos,只针对debian系列进行解析auth.log,目前支持智能分析系统,再判断使用auth还是secure文件。
在Shell代码中进行优化格式
显示效果
修复 『显示端口不存在用户导致错误』
显示开启端口时,会显示这样一个报错,这是因为203这个用户,但是某些进程是在这个用户变更前启动的,所以遗留了下来,暂时没啥好办法,使用-w不显示暂时解决问题。
增加 『全量输出』
新增全量输出,因为考虑输出需要全面,所以仅增加参数,目前暂时未完善,待后续开发更多功能,正式完成这个功能。因为没有一个参数是完整输出所有的,-n 仅输出基本的。
优化 『标题栏』 代码
使用分区存放的思想,代码更健康,便于读者阅读相关代码,读起来更容易懂。可以对其二次开发和修改。
5.0.2 批量更新
发布5.0.2版本,优化 『用户基本信息』 、修复 『某些环境DNS显示异常』 、 加速 『模块化』、增加 『secure文件可选』 、增加 『颜色定义区』
增加 『颜色定义区』
增加颜色定义,增加颜色更方便,更加容易抓住重点信息
增加 『secure文件可选』
更新可对secure文件进行指定。默认/var/log/secure
优化 『用户基本信息』
有了颜色的定义,增加色彩更方便,并增加时间戳,便于校验本地时间和回溯应急时间节点。
修复 『某些环境DNS显示异常』
在一些系统的DNS默认文件中,第一行是注释,所以显示成注释内的内容,从新对该命令进行正则优化,解决问题。
加速 『模块化』
由于本人早期没考虑后期增加功能点,导致维护困难,对代码进行重构,加速模块化,功能点函数化进程。
原文始发于微信公众号(Eonian Sharp):【刻刀】蓝队Linux应急工具-司稽5.0.2更新
评论