【应急响应工具教程】Linux下应急响应工具whohk

1、工具简介

在linux下的应急响应往往需要通过繁琐的命令行来查看各个点的情况，有的时候还需要做一些格式处理，这对于linux下命令不是很熟悉的人比较不友好。本工具将linux下应急响应中常用的一些操作给集合了起来，并处理成了较为友好的格式，只需要通过一个参数就能代替繁琐复杂的命令来实现对各个点的检查。

程序自动获取系统的CPU，内存，磁盘的使用率以及当前在线用户信息。

2、下载与安装

通过Github进行下载：

https://github.com/wgpsec/whohk/releases/tag/v1.1

系统兼容：

• 支持主流的Linux，包含centos、redhat、ubuntu、debian、opensuse。

3、使用教程

上传到目标设备后解压。

给whohk加上可执行权限然后./打开。

-h查看用法。

optional arguments:  -h, --help            show this help message and exit  -user                 用于查看系统可登录账户和空口令账户（无参数）  -history              用于查看所有用户的敏感历史命令（无参数）  -cron                 用于查看所有用户的定时任务（无参数）  -ip                   用于查看外连ip（无参数）  --pid 1234            用于定位进程物理路径（参数为pid号）  --ssh-fip             用于查看ssh登录失败的ip和次数（无参数）  --ssh-fuser           用于查看ssh登录失败的用户和次数（无参数）  --ssh-sip             用于查看ssh登录成功的ip和次数（无参数）  --ssh-sinfo           用于查看ssh登录成功的用户详情（无参数）  --file-cron 7         用于查看系统各个级别定时任务目录中，n天内被修改的文件（参数为天数）  --file-starup 7       用于查看系统启动项目录中，n天内被修改的文件（参数为天数）  --file-os 7           用于查看系统重要目录中，n天内被修改的文件（参数为天数）  --file-change /www 7 php                        用于查看在n天内指定目录中指定后缀的被修改的文件（参数为物理路径、天数、后缀）  --file-perm /www jsp 777                        用于查看指定目录下指定后缀指定权限的文件（参数为物理路径、后缀、天数）  --s-backdoor /home    用于检测指定路径下的恶意样本（参数为物理路径）  --s-webshell /var/www                        用于检测指定路径下的webshell（参数为物理路径）

参数-user 检查系统账户情况。

参数-history 会筛选出所有用户下的可疑历史命令。

参数-cron 列出所有用户的定时任务。

参数--cron-file 7 列出7天内被修改过的各个级别定时任务目录的脚本，输入参数值为天数，参数为必选。

没有就报错了。

参数-ip 用于查看进程中对外连接情况。

参数--pid 2848 根据进程pid来获取进程物理路径等详细信息，输入参数值为进程的pid，参数为必选。

参数--ssh-fip 查看登录失败的ip以及对应的次数，可用于分析爆破情况。

参数--ssh-fuser 查看登录失败的账户名以及对应的次数。

参数--ssh-sip 查看登录成功的ip以及对应的次数。

参数--ssh-sinfo 查看登录成功的详细记录。

参数--starup 7 查看7天内被修改的启动项，输入的参数值为天数，参数为必选。

没有就报错了。

参数--osfile 7 查看7天内被劫持的系统文件，输入的参数值为天数，参数为必选。

没有就报错了。

参数--s-webshell /home 用于检测指定目录下的webshell，输入的参数值为网站绝对路径，参数为必选。

参数--s-backdoor /home 用于检测指定目录下的恶意软件，输入的参数值为待检测目录绝对路径，参数为必选。

4、工具补充说明

1.webshell检测和恶意软件检测的规则库采用yara外置规则库，可自己随时更新，本次只放出来一些常见的规则库。

2.主程序名为“whohk”的二进制文件，上传后需要chmod +x whohk，加上执行权限。config下是纯真ip位置数据库，更新日期为20200920，也可以自行更新。

3.工具不含任何后门，自行选择是否使用。

4.自行对比

md5：992516c25337663afb0af2b3ace184ab

SHA1：75e81f0a3502d366d5454ca79642f4652cc97723

SHA256：ef18c975d970f42e959560ff9718d258316bce8e5295034f987cc40eddf95432

5.v0.1版本可能有些方面没考虑到，欢迎各位大佬提提意见，本工具会不断更新完善。

6.工具虽好，但不建议完全依赖于工具，应急场景各种各样都有，工具不一定能够面面俱到，有的时候还是得手工。