介绍
该工具为linux通用应急响应脚本(bash语言),适用大多数发行版本。目前在ubuntu、centos7、kali上均可以正常运行。
详细功能:
- 必须root权限运行
- 收集IP地址信息
- 查看正在登录的用户
- 查看/etc/passwd
- 检查是否存在超级用户
- 空口令账户检测
- 新增用户检查
- 新增用户组检查
- 检测sudoers文件中的用户权限
- 使用 visudo 命令查找具有 NOPASSWD 权限的用户
- 检查各账户下是否存在ssh登录公钥
- 账户密码文件权限检测
- 暴力破解攻击检测
- 查询正在监听的端口
- 检查建立的网络连接
- 检查是否存在系统进程
- 检测存在那些守护进程
- CPU和内存使用率最高的进程排查(超过20%)
- 检查是否存在隐藏进程
- 检查反弹shell类进程
- 将进程对应的可执行文件保存到指定目录--webshell--沙箱检测
- 系统命令hash值打包---威胁情报MD5对比
- 检查正在运行的服务
- 检查系统文件的权限变更(一周内)
- 收集历史命令
- 用户自定义启动项排查
- 系统自启动项排查
- 危险启动项排查
- 系统定时任务分析
- 用户定时任务分析
- 检查最近24小时内有改变的文件(误报会很多)
- cpu情况分析(占用前5)
- 日志分析
- 日志审核是否开启
- 打包日志(/var/log/*)全打包
- secure日志分析(登录成功。登录失败,新增用户组)
- message日志分析(传输文件情况)
- cron日志分析(定时下载、定时执行)
- btmp日志分析(错误登录日志)
- lastlog日志分析(最后一次登录日志)
- wtmp日志分析(历史登录本机用户)
- Alias 后门检测
- SSH 后门检测
- SSH Wrapper 后门检测
- 检查 SSH 授权密钥文件是否包含可疑命令
- 检查特定目录中是否存在可疑文件
- 检查系统日志中是否包含可疑内容
- 防火墙配置检测
使用
脚本执行后生成的目录位置:/tmp/Ashro_{年月日}_{时分秒}
目录结构:
.├── check_file│ └── command_hashes.csv├── danger_file.txt├── log│ ├── Ashro_checkresult.txt│ └── system_log.zip└── webshell├── agent-1834├── agetty-970├── at-spi2-registryd-1702├── ...
1、danger_file.txt文件
danger_file.txt 是脚本执行后的高危结果,结果需要经验分析,不要一股脑就认为风险项。
2、check_file文件夹
通过脚本获取系统上的命令配置文件的MD5值到check_file/command_hashes.csv文件中。
使用weibu_md5.py 检查命令篡改,运行时需要与csv文件放在同目录。脚本调用微步的威胁情报查询接口,需要配置脚本中的自己api。
脚本执行后会在当前目录生成结果command_hashes_update.csv文件,是否命令篡改结果一目了然。
3、webshell文件夹
会将当前系统中正在进行的进程其涉及到的可执行文件cp下来,需自行进行沙箱检测。
4、log文件夹
会将/var/log/*文件夹内容打包成压缩包system_log.zip;Ashro_checkresult.txt 结尾的是脚本执行过程日志,是重点分析的记录,与danger_file.txt的内容互补。
免责声明
本工具旨在提供应急响应等相关服务,但使用本工具时请注意以下事项:
- 本工具的使用者应对其使用产生的结果和后果负全部责任。本工具仅作为辅助工具提供,不对使用者所进行的操作和决策承担责任。
- 本工具尽力提供准确、及时的信息和评估,但无法保证其完全无误。使用者应自行判断和验证本工具提供的信息,并对使用本工具所产生的结果进行独立评估。
请在使用本工具之前仔细阅读并理解上述免责声明。使用本工具即表示您同意遵守上述条款,并自行承担相应责任。
下载地址
https://github.com/Ashro-one/Ashro_linux
原文始发于微信公众号(篝火信安):应急工具 | Linux通用应急响应脚本(20240514更新)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论