Linux应急响应工具。推荐联网使用。
$ python3 main.py > 1.log- 系统信息
- 系统初始化安全
alias命令检查
- 账户安全
- 是否存在空口令账户
- 检查被设置了密码的用户
- 是否存在
SUID为0的非root用户 - 是否存在账户策略限制
- 是否设置账号主动注销
- 检查当前登陆的用户
sudo用户权限检测- 免密登陆用户检测
- 账户密码文件权限检测
- 文件安全
- 指定时间内增加或修改的文件
- 系统重要可执行文件检查
- 系统恶意文件检查
- 系统临时目录检查
- 系统各用户目录检查
- 可疑隐藏文件检查
- 用户操作历史分析
- 反弹
Shell操作 - 远程下载操作
- 反弹
- 进程
CPU使用率检测- 内存使用率检测
- 隐藏进程检查
- 反弹
Shell进程检查 - 进程可执行文件扫描
- 网络
- 网络链接检测
- 网卡混杂模式检测
- 后门
- 环境变量后门检测
ld.so.preload后门检测crontab后门检测SSH Wrapper后门inetd、xinetd服务后门SUID提权后门- 系统启动项后门
- 文件安全
- 在分析恶意命令时候,可能不同机子上命令的版本不同,造成命令
Hash值与保存的命令Hash不一致,存在误报现象。如果作为HIDS能很好解决,如果作为应急响应脚本会出现误报。
- 在分析恶意命令时候,可能不同机子上命令的版本不同,造成命令
- 反弹
Shell检测- 反弹
Shell的检测是针对一些关键字进行提取来检测是否存在反弹Shell,可能会存在无法正确匹配。
- 反弹