Ashro_linux :Linux通用应急响应脚本

admin 2024年12月20日10:19:04评论13 views字数 1754阅读5分50秒阅读模式

0x01 工具介绍

Linux通用应急响应脚本是一款功能全面的安全工具,用于应对服务器安全事件,适用于多种Linux系统(如Ubuntu、CentOS、Kali等)。脚本支持收集和分析系统信息,包括IP、用户、权限、进程、网络连接、日志等,提供危险文件检测、后门排查、命令篡改验证以及沙箱分析功能。生成的日志和结果文件便于进一步分析,帮助快速定位潜在威胁,适用于安全运维和应急响应场景。

下载地址在末尾

0x02 功能简介

目前在ubuntu、centos7、kali上均可以正常运行。其他未实验 可以提供报错,针对修改。

脚本执行后生成的文件解释:danger_file.txt 脚本执行后的高危结果,对付看,结果需要经验分析,不要一股脑就认为风险项。

Ashro_linux :Linux通用应急响应脚本

check_file文件夹--检查命令篡改 weibu_md5.py 通过脚本获取系统上的命令配置文件的MD5值到check_file/*.csv文件中,进行微步的威胁情报查询,需要配置脚本中的自己api。脚本执行后会在当前目录生成结果文件。是否命令篡改结果一目了然。

Ashro_linux :Linux通用应急响应脚本

webshell文件夹--检查可执行文件后门 执行脚本后会将当前系统中正在进行的进程其涉及到的可执行文件cp下来。dump下来沙箱检测即可。

log文件夹--会将/var/log/*文件夹内容打包成压缩包 Ashro_checkresult.txt 结尾的是脚本执行过程日志,这个比较友好可以从这里分析

Ashro_linux :Linux通用应急响应脚本

详细功能介绍:
1.必须root权限运行
2.收集IP地址信息
3.查看正在登录的用户
4.查看/etc/passwd
5.检查是否存在超级用户
6.空口令账户检测
7.新增用户检查
8.新增用户组检查
9.检测sudoers文件中的用户权限
10.使用 visudo 命令查找具有 NOPASSWD 权限的用户
11.检查各账户下是否存在ssh登录公钥
12.账户密码文件权限检测
13.暴力破解攻击检测
14.查询正在监听的端口
15.检查建立的网络连接
16.检查是否存在系统进程
17.检测存在那些守护进程
18.CPU和内存使用率最高的进程排查(超过20%)
19.检查是否存在隐藏进程
20.检查反弹shell类进程
21.将进程对应的可执行文件保存到指定目录--webshell--沙箱检测
22.系统命令hash值打包---威胁情报MD5对比
23.检查正在运行的服务
24.检查系统文件的权限变更(一周内)
25.收集历史命令
26.用户自定义启动项排查
27.系统自启动项排查
28.危险启动项排查
29.系统定时任务分析
30.用户定时任务分析
31.检查最近24小时内有改变的文件(误报会很多)
32.cpu情况分析(占用前5)
33.日志分析
34.日志审核是否开启
35.打包日志(/var/log/*)全打包
36.secure日志分析(登录成功。登录失败,新增用户组)
37.message日志分析(传输文件情况)
38.cron日志分析(定时下载、定时执行)
39.btmp日志分析(错误登录日志)
40.lastlog日志分析(最后一次登录日志)
41.wtmp日志分析(历史登录本机用户)
42.Alias 后门检测
43.SSH 后门检测
44.SSH Wrapper 后门检测
45.检查 SSH 授权密钥文件是否包含可疑命令
46.检查特定目录中是否存在可疑文件
47.检查系统日志中是否包含可疑内容
48.防火墙配置检测

windows应急响应工具地

https://github.com/FindAllTeam/FindAll/

补充一个应急小tip
当漏扫工具被截留到服务器上时候,还定位不到攻击者遗留的工具时,
例如ips上出现横向攻击10.16.5.134 时,可以执行如下命令。他会查找全系统文件内容中的可能存在漏洞结果的文件位置。

find / -type f -exec grep -l "10.16.5.134" {} ;

Ashro_linux :Linux通用应急响应脚本

0x03更新说明

用手敲命令快速盘点-持续更新

0x04 使用介绍

进入脚本目录

cd FindAll

建议 root权限 运行脚本,否则部分功能可能无法正常执行:

sudo ./script.sh

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月20日10:19:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Ashro_linux :Linux通用应急响应脚本https://cn-sec.com/archives/3526324.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息