注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。
- 必须root权限运行
- 收集IP地址信息
- 查看正在登录的用户
- 查看/etc/passwd
- 检查是否存在超级用户
- 空口令账户检测
- 新增用户检查
- 新增用户组检查
- 检测sudoers文件中的用户权限
- 使用 visudo 命令查找具有 NOPASSWD 权限的用户
- 检查各账户下是否存在ssh登录公钥
- 账户密码文件权限检测
- 暴力破解攻击检测
- 查询正在监听的端口
- 检查建立的网络连接
- 检查是否存在系统进程
- 检测存在那些守护进程
- CPU和内存使用率最高的进程排查(超过20%)
- 检查是否存在隐藏进程
- 检查反弹shell类进程
- 将进程对应的可执行文件保存到指定目录--webshell--沙箱检测
- 系统命令hash值打包---威胁情报MD5对比
- 检查正在运行的服务
- 检查系统文件的权限变更(一周内)
- 收集历史命令
- 用户自定义启动项排查
- 系统自启动项排查
- 危险启动项排查
- 系统定时任务分析
- 用户定时任务分析
- 检查最近24小时内有改变的文件(误报会很多)
- cpu情况分析(占用前5)
- 日志分析
- 日志审核是否开启
- 打包日志(/var/log/*)全打包
- secure日志分析(登录成功。登录失败,新增用户组)
- message日志分析(传输文件情况)
- cron日志分析(定时下载、定时执行)
- btmp日志分析(错误登录日志)
- lastlog日志分析(最后一次登录日志)
- wtmp日志分析(历史登录本机用户)
- Alias 后门检测
- SSH 后门检测
- SSH Wrapper 后门检测
- 检查 SSH 授权密钥文件是否包含可疑命令
- 检查特定目录中是否存在可疑文件
- 检查系统日志中是否包含可疑内容
- 防火墙配置检测
0x02 项目地址
https://github.com/Ashro-one/Ashro_linux
原文始发于微信公众号(浅安安全):工具 | Ashro_linux
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论