用于Linux应急响应,快速排查异常用户登录情况和入侵信息排查,准确定位溯源时间线,高效辅助还原攻击链

admin 2024年11月11日11:46:53评论7 views字数 1267阅读4分13秒阅读模式
01工具介绍

Whoamifuck 是 zhuima 的第一个 Rust 命令行开源工具。这是一个最初由 Shell 编写的用于检测入侵者的工具,本人使用Rust复刻了 Shell 版的完整的功能。

https://github.com/enomothem/Whoamifuck

02工具使用

Whoamifuck 使用 Clap 库来构建命令行界面。以下是主要命令的使用方法:

快速命令 (QUICK)

用于基本操作:

./whoamifuck QUICK --user-device <设备名> --login <登录名> [--nomal] [--all]
  • • --user-device:用户设备名称
  • • --login:用户登录名(默认值:/var/log/secure;/var/log/auth.log
  • • --nomal:基本输出
  • • --all:完整输出

特殊命令 (SPECIAL)

用于高级操作:

./whoamifuck SPECIAL --user-device <设备名> --login <登录名> [--nomal] [--all]
  • • --proc-serv:检查用户进程和服务状态
  • • --port:检查用户端口开放状态
  • • --os-status:检查系统状态信息

风险评估命令 (RISK)

./whoamifuck RISK --user-device <设备名> --login <登录名> [--nomal] [--all]
  • • --baseline:安全基线检查
  • • --risk:检查系统漏洞信息
  • • --rootkitcheck:检查系统 rootkit 信息
  • • --webshell:检查 Web shell 信息(默认值:/var/www/;/www/wwwroot/..

杂项命令 (MISC)

./whoamifuck MISC --user-device <设备名> --login <登录名> [--nomal] [--all]
  • • --code:检查页面存活状态
  • • --sqletlog:检查用户信息
  • • --auto-run:设置 crontab 信息
  • • --ext:自定义命令定义测试(默认值:~/.whok/chief-inspector.conf

输出命令 (OUTPUT)

./whoamifuck OUTPUT --user-device <设备名> --login <登录名> [--nomal] [--all]
  • • --output:输出到文件
  • • --html:输出到终端(HTML 格式)

示例

检查用户登录信息并输出基本信息:

./whoamifuck QUICK --user-device "服务器" --login "root" --nomal

进行安全基线检查并生成 HTML 报告:

./whoamifuck OUTPUT --user-device "服务器" --login "root" --html

用于Linux应急响应,快速排查异常用户登录情况和入侵信息排查,准确定位溯源时间线,高效辅助还原攻击链

 

END

原文始发于微信公众号(黑白之道):用于Linux应急响应,快速排查异常用户登录情况和入侵信息排查,准确定位溯源时间线,高效辅助还原攻击链

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月11日11:46:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   用于Linux应急响应,快速排查异常用户登录情况和入侵信息排查,准确定位溯源时间线,高效辅助还原攻击链http://cn-sec.com/archives/3382776.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息