GScan:Linux Checklist自动化检测
一、下载部署
git clone https://github.com/grayddq/GScan.git
cd /GSscan
python2 Gscan.py
二、CheckList的自动化检测项
1、主机信息获取
2、系统初始化alias检查
3、文件类安全扫描
3.1、系统重要文件完整行扫描
3.2、系统可执行文件安全扫描
3.3、临时目录文件安全扫描
3.4、用户目录文件扫描
3.5、可疑隐藏文件扫描
4、各用户历史操作类
4.1、境外ip操作类
4.2、反弹shell类
5、进程类安全检测
5.1、CUP和内存使用异常进程排查
5.2、隐藏进程安全扫描
5.3、反弹shell类进程扫描
5.4、恶意进程信息安全扫描
5.5、进程对应可执行文件安全扫描
6、网络类安全检测
6.1、境外IP链接扫描
6.3、恶意特征链接扫描
6.4、网卡混杂模式检测
7、后门类检测
7.1、LD_PRELOAD后门检测
7.2、LD_AOUT_PRELOAD后门检测
7.3、LD_ELF_PRELOAD后门检测
7.4、LD_LIBRARY_PATH后门检测
7.5、ld.so.preload后门检测
7.6、PROMPT_COMMAND后门检测
7.7、Cron后门检测
7.8、Alias后门
7.9、SSH 后门检测
7.10、SSH wrapper 后门检测
7.11、inetd.conf 后门检测
7.12、xinetd.conf 后门检测
7.13、setUID 后门检测
7.14、8种系统启动项后门检测
8、账户类安全排查
8.1、root权限账户检测
8.2、空口令账户检测
8.3、sudoers文件用户权限检测
8.4、查看各账户下登录公钥
8.5、账户密码文件权限检测
9、日志类安全分析
9.1、secure登陆日志
9.2、wtmp登陆日志
9.3、utmp登陆日志
9.4、lastlog登陆日志
10、安全配置类分析
10.1、DNS配置检测
10.2、Iptables防火墙配置检测
10.3、hosts配置检测
11、Rootkit分析
11.1、检查已知rootkit文件类特征
11.2、检查已知rootkit LKM类特征
11.3、检查已知恶意软件类特征检测
12.WebShell类文件扫描
12.1、WebShell类文件扫描
三、程序脚本说明:
GScan
----GScan.py #主程序
----log #日志和结果记录
----lib #模块库文件
-------core #调用库文件
----------common.py #公共库模块
----------globalvar.py #全局参数管理模块
----------option.py #参数管理模块
----------ip ##ip地址定位库
-------egg #yara打包动态库
-------malware #恶意特征库
-------plugins #检测插件模块库
----------Host_Info.py #主机信息获取
----------File_Analysis.py #文件类安全检测
----------History_Analysis.py #用户历史操作类
----------Proc_Analysis.py #进程类安全检测
----------Network_Analysis.py #网络类安全检测
----------Backdoor_Analysis.py #后门类检测
----------User_Analysis.py #账户类安全排查
----------Log_Analysis.py #日志类安全分析
----------Config_Analysis.py #安全配置类分析
----------Rootkit_Analysis.py #Rootkit分析
----------SSHAnalysis.py #secure日志分析
----------Webserver.py #获取当前web服务的web根目录
----------Webshell_Analysis.py #webshell检测
----------webshell_rule #webshell检测的规则
检测结果:
日志及结果目录默认:./GScan/log/gscan.log
四、运行效果
python GScan.py_______ _______. ______ ___ .__ __./ _____| / | / | / \ | \ | | {version:v0.1}
| | __ | (----`| ,----' / ^ \ | \| |
| | |_ | \ \ | | / /_\ \ | . ` | {author:咚咚呛}
| |__| | .----) | | `----. / _____ \ | |\ |\______| |_______/ \______|/__/ \__\ |__| \__| http://grayddq.top开始扫描当前系统安全状态...主机信息获取
主机名:server01
主机IP:192.168.0.220
系统版本:Linux-3.10.0-957.el7.x86_64-x86_64-with-centos-7.6.1810-Core
主机时间:2021-05-14 15:35:58检测系统初始化扫描[1]alias检查 [ OK ]开始文件类安全扫描[1]系统重要文件hash对比 [ OK ][2]系统可执行文件安全扫描 [ OK ][3]系统临时目录安全扫描 [ OK ][4]各用户目录安全扫描 [ 存在风险 ][5]可疑隐藏文件扫描 [ OK ]开始主机历史操作类安全扫描[1]所有历史操作的可疑记录 [ 存在风险 ]开始进程类安全扫描[1]CUP和内存类异常进程排查 [ OK ][2]隐藏进程安全扫描 [ OK ][3]反弹shell类进程扫描 [ OK ][4]恶意进程信息安全扫描 [ OK ][5]exe程序安全扫描 [ OK ]开始网络链接类安全扫描[1]当前网络对外连接扫描 [ OK ][2]恶意特征类链接扫描 [ OK ][3]网卡混杂模式扫描 [ OK ]开始恶意后门类安全扫描[1]LD_PRELOAD 后门检测 [ OK ][2]LD_AOUT_PRELOAD 后门检测 [ OK ][3]LD_ELF_PRELOAD 后门检测 [ OK ][4]LD_LIBRARY_PATH 后门检测 [ OK ][5]ld.so.preload 后门检测 [ OK ][6]PROMPT_COMMAND 后门检测 [ OK ][7]cron定时任务后门检测 [ OK ][8]未知环境变量 后门检测 [ OK ][9]ssh 后门检测 [ OK ][10]SSH wrapper 后门检测 [ OK ][11]inetd.conf 后门检测 [ OK ][12]xinetd.conf 后门检测 [ OK ][13]setuid 后门检测 [ OK ][14]系统启动项后门检测 [ OK ]开始账户类安全扫描[1]root权限账户安全扫描 [ OK ][2]特权组账户安全扫描 [ OK ][3]空口令账户安全扫描 [ OK ][4]sudoers权限安全扫描 [ OK ][5]账户免密码证书安全扫描 [ 警告 ][6]账户密码文件扫描 [ OK ]开始日志类安全扫描[1]secure日志安全扫描 [ OK ][2]wtmp日志日志安全扫描 [ OK ][3]utmp日志日志安全扫描 [ OK ][4]lastlog日志日志安全扫描 [ OK ]开始配置类安全扫描[1]DNS设置扫描 [ 警告 ][2]防火墙设置扫描 [ OK ][3]hosts设置扫描 [ OK ]开始Rootkit类安全扫描[1]55808 Variant A [ OK ][2]Adore Rootkit [ OK ][3]AjaKit Rootkit [ OK ][4]aPa Kit Rootkit [ OK ][5]Apache Worm [ OK ][6]Ambient Rootkit [ OK ][7]Balaur Rootkit [ OK ][8]Beastkit Rootkit [ OK ][9]beX2 Rootkit [ OK ][10]BOBkit Rootkit [ OK ][11]OSX Boonana-A Trojan [ OK ][12]cb Rootkit [ OK ][13]CiNIK Worm [ OK ][14]CX Rootkit [ OK ][15]Abuse Kit [ OK ][16]Devil Rootkit [ OK ][17]Diamorphine LKM [ OK ][18]Dica-Kit Rootkit [ OK ][19]Dreams Rootkit [ OK ][20]Duarawkz Rootkit [ OK ][21]Ebury sshd backdoor [ OK ][22]ENYE LKM [ OK ][23]Flea Rootkit [ OK ][24]FreeBSD Rootkit [ OK ][25]Fu Rootkit [ OK ][26]Fuckit Rootkit [ OK ][27]GasKit Rootkit [ OK ][28]Heroin LKM [ OK ][29]HjC Kit Rootkit [ OK ][30]ignoKit Rootkit [ OK ][31]iLLogiC Rootkit [ OK ][32]OSX Inqtana Variant A [ OK ][33]OSX Inqtana Variant B [ OK ][34]OSX Inqtana Variant C [ OK ][35]IntoXonia-NG Rootkit [ OK ][36]Irix Rootkit [ OK ][37]Jynx Rootkit [ OK ][38]Jynx2 Rootkit [ OK ][39]KBeast Rootkit [ OK ][40]OSX Keydnap backdoor [ OK ][41]Kitko Rootkit [ OK ][42]Knark Rootkit [ OK ][43]OSX Komplex Trojan [ OK ][44]ld-linuxv rootkit [ OK ][45]Lion Worm [ OK ][46]Lockit Rootkit [ OK ][47]Mokes backdoor [ OK ][48]MRK RootKit [ OK ][49]Mood-NT Rootkit [ OK ][50]Ni0 Rootkit [ OK ][51]Ohhara Rootkit [ OK ][52]Optic Kit Rootkit [ OK ][53]OSXRK [ OK ][54]Oz Rootkit [ OK ][55]Phalanx Rootkit [ OK ][56]Phalanx2 Rootkit [ OK ][57]Portacelo Rootkit [ OK ][58]OSX Proton backdoor [ OK ][59]R3dstorm Toolkit [ OK ][60]RH-Sharpe Rootkit [ OK ][61]RSHA Rootkit [ OK ][62]Shutdown Rootkit [ OK ][63]Scalper Worm [ OK ][64]SHV4 Rootkit [ OK ][65]SHV5 Rootkit [ OK ][66]Sin Rootkit [ OK ][67]Slapper Worm [ OK ][68]Sneakin Rootkit [ OK ][69]Solaris Wanuk backdoor [ OK ][70]Solaris Wanuk Worm [ OK ][71]Spanish Rootkit [ OK ][72]Suckit Rootkit [ OK ][73]NSDAP Rootkit [ OK ][74]SunOS Rootkit [ OK ][75]Superkit Rootkit [ OK ][76]TBD(Telnet Backdoor) [ OK ][77]TeLeKiT Rootkit [ OK ][78]OSX Togroot Rootkit [ OK ][79]T0rn Rootkit [ OK ][80]trNkit Rootkit [ OK ][81]Trojanit Kit Rootkit [ OK ][82]Turtle Rootkit [ OK ][83]Tuxtendo Rootkit [ OK ][84]Universal Rootkit [ OK ][85]VcKit Rootkit [ OK ][86]Vampire Rootkit [ OK ][87]Volc Rootkit [ OK ][88]weaponX [ OK ][89]Xzibit Rootkit [ OK ][90]X-Org SunOS Rootkit [ OK ][91]zaRwT.KiT Rootkit [ OK ][92]ZK Rootkit [ OK ][93]Miscellaneous login backdoors [ OK ][94]Sniffer log [ OK ][95]Suspicious dir [ OK ][96]Apache backdoor [ OK ][97]检测LKM内核模块 [ OK ]开始Webshell安全扫描[1]Webshell安全扫描 [ OK ]
------------------------------
根据系统分析的情况,溯源后的攻击行动轨迹为:
[起点信息] 进程服务6893/sshd 端口0.0.0.0:22 对外部公开,可能会被作为入侵起点,属于排查参考方向
[起点信息] 进程服务6893/sshd 端口:::22 对外部公开,可能会被作为入侵起点,属于排查参考方向
[起点信息] 进程服务7001/master 端口::1:25 对外部公开,可能会被作为入侵起点,属于排查参考方向
[1][可疑] 黑客在2020-12-25 13:46:38时间,进行了账户修改设置,用户root存在免密登录的证书,证书客户端名称:root@server01 & root@server02
[2][风险] 黑客在2021-04-23 17:09:43时间,植入了恶意文件/root/.bash_history,反弹shell类:curl -sSL https://get.daocloud.io/daotools/set_mirror.sh | sh -s http://a7d80d83.m.daocloud.io
[3][风险] 黑客在2021-04-30 15:31:56时间,进行了恶意操作,反弹shell类:curl -sSL https://get.daocloud.io/daotools/set_mirror.sh | sh -s http://a7d80d83.m.daocloud.io
[4][可疑] 黑客在2021-05-14 11:06:53时间,进行了DNS安全配置变更,DNS设置为境外IP: 114.114.114.114------------------------------
扫描完毕,扫描结果已记入到 /root/GScan/log/gscan.log 文件中,请及时查看GScan:Linux Checklist自动化检测相关推荐
- PCRT:自动化检测修复损坏PNG文件取证工具
0x01 概述 Python2.7 旨在实现检查并自动化修复损坏的 PNG 图像,可用于恢复取证中提取到的缺失的图片流,或者提取隐藏在 PNG 图片中的恶意样本. 0x02 功能 显示图片文件信息 修 ...
- 日常工作问题解决:centos/linux系统如何检测端口是否打开
日常工作问题解决:centos/linux系统如何检测端口是否打开 参考文章: (1)日常工作问题解决:centos/linux系统如何检测端口是否打开 (2)https://www.cnblogs. ...
- 13 种在 Linux 系统上检测 CPU 信息的工具
13 种在 Linux 系统上检测 CPU 信息的工具 问题: 我想要了解我的电脑关于CPU处理器的详细信息,查看CPU信息比较有效地方法是什么? 根据你的需要,有各种各样的关于你的CPU处理器信息你 ...
- Linux系统状态检测及进程控制--2
Linux系统状态检测及进程控制--1(http://crushlinux.blog.51cto.com/2663646/836481) 4.僵死(进程已终止,但进程描述符存在,直到父进程调用wait ...
- Linux云自动化运维第六课
Linux云自动化运维第六课 第九单元 openssh-server 一.openssh-server 功能:让远程主机可以通过网络访问sshd服务,开始一个安全shell 二.客户端连接方式 ss ...
- linux的“自动化”
linux的"自动化" linux系统的web网站在运营状态时,我们常需要对网站进行维护,例如查看资源剩余并做出响应.日志分割.数据整理,在特定状态执行特定任务等等,这些都会需要l ...
- Linux系统磁状态检测,检测Linux硬件状态
计算机系统是由软件系统和硬件系统共同组成的.检测硬件状态对于保障整个系统的稳定是非常重要的.不论操作系统是使用Linux.还是Windows,一旦硬件出现故障,那么整个系统的安全就严重了.这里我们主要 ...
- Linux云自动化运维第三课
Linux云自动化运维第三课 一.正则表达式 1.匹配符 * ###匹配0到任意字符 ? ###匹配单个字符 [[:alpha:]] ###匹配单个字母 [[:lower:]] ###匹配单个小写字母 ...
- 在linux下面实现检测按键(Linux中kbhit()函数的实现)
//在linux下面实现检测按键(Linux中kbhit()函数的实现) #include <stdio.h> #include <termios.h> #include &l ...
最新文章
- Tornado源码分析 --- 静态文件处理模块
- 禁止访问Apache目录
- java xml dom getelementbyid,DOM中常见的元素获取方式
- ubuntu11.04正式版下载地址
- [lct] Luogu P4219 大融合
- const php 数组,php-如何在该类中创建类实例的const数组?
- Redis和MongoDB的区别
- 函数编程(Functional programming)
- 程序员未来前景如何?大龄程序员出路在哪里?
- 打印十字图-蓝桥杯历届试题
- 数据库管理软件SQLPro for SQLite for Mac 2022.30
- Python Tensorflow下的Word2Vec代码解释
- log4j日志级别配置详解
- 小程序设置按钮分享功能
- python用keras库做个股票分析小程序
- python爬虫之爬取拉勾网
- 找不到sct文件解决方法:Could not open scatter descript
- 【AE模板】扁平化MG动画卡通人物解说角色场景元素包
- 网页设计技巧大全(摘抄)
- 教你实现windowsxp自动登录大法(转)