用于Linux应急响应,快速排查异常用户登录情况和入侵信息排查,准确定位溯源时间线,高效辅助还原攻击链。

admin 2024年11月8日14:56:59评论7 views字数 1273阅读4分14秒阅读模式

 

01

工具介绍

Whoamifuck 是 zhuima 的第一个 Rust 命令行开源工具。这是一个最初由 Shell 编写的用于检测入侵者的工具,本人使用Rust复刻了 Shell 版的完整的功能。

02

工具使用

Whoamifuck 使用 Clap 库来构建命令行界面。以下是主要命令的使用方法:

快速命令 (QUICK)

用于基本操作:

./whoamifuck QUICK --user-device <设备名> --login <登录名> [--nomal] [--all]
  • • --user-device:用户设备名称
  • • --login:用户登录名(默认值:/var/log/secure;/var/log/auth.log
  • • --nomal:基本输出
  • • --all:完整输出

特殊命令 (SPECIAL)

用于高级操作:

./whoamifuck SPECIAL --user-device <设备名> --login <登录名> [--nomal] [--all]
  • • --proc-serv:检查用户进程和服务状态
  • • --port:检查用户端口开放状态
  • • --os-status:检查系统状态信息

风险评估命令 (RISK)

./whoamifuck RISK --user-device <设备名> --login <登录名> [--nomal] [--all]
  • • --baseline:安全基线检查
  • • --risk:检查系统漏洞信息
  • • --rootkitcheck:检查系统 rootkit 信息
  • • --webshell:检查 Web shell 信息(默认值:/var/www/;/www/wwwroot/..

杂项命令 (MISC)

./whoamifuck MISC --user-device <设备名> --login <登录名> [--nomal] [--all]
  • • --code:检查页面存活状态
  • • --sqletlog:检查用户信息
  • • --auto-run:设置 crontab 信息
  • • --ext:自定义命令定义测试(默认值:~/.whok/chief-inspector.conf

输出命令 (OUTPUT)

./whoamifuck OUTPUT --user-device <设备名> --login <登录名> [--nomal] [--all]
  • • --output:输出到文件
  • • --html:输出到终端(HTML 格式)

示例

检查用户登录信息并输出基本信息:

./whoamifuck QUICK --user-device "服务器" --login "root" --nomal

进行安全基线检查并生成 HTML 报告:

./whoamifuck OUTPUT --user-device "服务器" --login "root" --html

02 工具下载

https://github.com/enomothem/Whoamifuck

 

原文始发于微信公众号(夜组安全):用于Linux应急响应,快速排查异常用户登录情况和入侵信息排查,准确定位溯源时间线,高效辅助还原攻击链。

 

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月8日14:56:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   用于Linux应急响应,快速排查异常用户登录情况和入侵信息排查,准确定位溯源时间线,高效辅助还原攻击链。https://cn-sec.com/archives/3372043.html

发表评论

匿名网友 填写信息