服务器配置

Linux应急响应脚本,快速溯源异常登录和入侵排查

我的站长站 2024-08-08 人阅读

脚本介绍

司稽(Whoamifuck或Chief-Inspector)是一款由shell编写的Linux应急响应脚本,能对基本的检查项进行输出和分析,并支持一些扩展的特色功能,该工具目前实现的功能基本满足了应急响应的基本需求。

项目地址:https://github.com/enomothem/Whoamifuck

Linux应急响应脚本,快速溯源异常登录和入侵排查

脚本功能

系统版本信息

历史命令信息

开启服务信息

进程分析信息

用户信息排查

文件状态信息

计划任务信息

开启端口信息

系统状态监控

分析站点日志

恶意程序查找

支持基线检查

挖矿病毒查杀

常见漏洞自查

后门文件查杀

僵尸进程清理

站点存活探测

开机自启动项

攻击痕迹发现

定时运行任务

软链后门检查

环境变量后门

常见格式报告

高可扩展命令

远程风险专项

查找webshell

信使邮件通知

使用方法

下载

git clone https://github.com/enomothem/Whoamifuck.git
cd Whoamifuck
chmod +x whoamifuck.sh

使用方法:                                                                   

-v --version                   版本信息                                      
-h --help                      帮助指南                                      
QUICK                                                                            
-u --user-device               查看设备基本信息                          
-l --login [FILEPATH]          用户登录信息 [default:/var/log/secure;/var/log/auth.log]
-n --nomal                     基本输出模式                                
-a --all                       全量输出模式                                
SPECIAL                                                                          
-x --proc-serv                 检查用户进程与开启服务状态          
-p --port                      查看端口开放状态                          
-s --os-status                 查看系统状态信息                          
RISK                                                                            
-b --baseline                  基线安全评估                                
-r --risk                      查看系统可能存在的漏洞                
-k --rookitcheck               检测系统可能存在的后门                
-w --webshell [PATH]           查找可能存在的webshell文件 [default:/var/www/;/www/wwwroot/..]
MISC                                                                            
-c --code [URL|FILE]           页面存活探测                                
-i --sqletlog [FILE]           日志分析-SQL注入专业分析                
-e --auto-run [0-23|c]         加入到定时运行计划                      
-z --ext [PATH]                自定义命令配置测试 [default:~/.whok/chief-inspector.conf]
OUTPUT                                                                          
-o --output [FILENAME]         导出全量输出模式文件                    
-m --html [FILENAME]           导出全量输出模式HTML文件


最新更新