Linux入侵排查脚本
根据大佬的Linux入侵排查文章,链接如下:
https://bypass007.github.io/Emergency-Response-Notes/Summary/%E7%AC%AC2%E7%AF%87%EF%BC%9ALinux%E5%85%A5%E4%BE%B5%E6%8E%92%E6%9F%A5.html
编写的简易python脚本:
# coding=utf-8
import os
info = '''usermod -L user 禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头
userdel user 删除user用户
userdel -r user 将删除user用户,并且将/home目录下的user目录一并删除'''
min1 = "awk -F: '$3==0{print $1}' /etc/passwd"
min2 = "awk '/\$1|\$6/{print $1}' /etc/shadow"
min3 = 'more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"'
def getinfo(min):tmp = os.popen(min)return tmp.read()
print "处置手段:"
print info
print "============================================================"
print "入侵排查 第一步账号安全 ing------"
display_format = '%-30s %-20s'
print display_format % ("特权用户:", getinfo(min1)[:-1])
print display_format % ("可远程登录:", getinfo(min2)[:-1])
print display_format % ("sudo权限用户:", getinfo(min3)[:-1])
print "============================================================"
print "入侵排查 第二步历史命令 ing------"
print "root的历史命令: histroy"
print '''进入用户目录下
cat .bash_history >> history.txt'''
print "============================================================"
print "入侵排查 第三步检查异常端口 ing------"
min4 = "netstat -antlp|more"
def getdir(min):tmp = os.popen(min)return tmp.readlines()
pidinfo = getdir(min4)
print pidinfo[1][:-1], " dir"
for i in pidinfo[2:]:str = "ls -l /proc/%s/exe" % (i[:-1].split("/")[0]).split(" ")[-1]print i[:-1], getinfo(str)[:-1]
print "============================================================"
print "入侵排查 第四步检查异常进程 ing------"
min5 = "ps aux | grep pid"
print getinfo(min5)[:-1]
print "============================================================"
print "入侵排查 第五步检查开机启动项 ing------"
min6 = "more /etc/rc.local /etc/rc.d/rc[0~6].d ls -l /etc/rc.d/rc3.d/"
print getinfo(min6)[:-1]
print "============================================================"
print "入侵排查 第六步检查定时任务 ing------"
print '''请使用以下命令:
more /var/spool/cron/*
more /etc/crontab
more /etc/cron.d/*
more /etc/cron.daily/*
more /etc/cron.hourly/*
more /etc/cron.monthly/*
more /etc/cron.weekly/
more /etc/anacrontab
more /var/spool/anacron/*'''
print "============================================================"
print "入侵排查 第七步检查服务 ing------"
min7 = "ps aux | grep crond"
min8 = "chkconfig --list"
print display_format % ("查看当前服务:", getinfo(min7)[:-1])
print display_format % ("服务自启动状态:", getinfo(min8)[:-1])
print "============================================================"
print "入侵排查 检查异常文件 and 检查系统日志 Please do manual work"
print "Thinks !"上面脚本的结果如下:
部分检查日志的脚本:
# coding=utf-8
import osdef getinfo(min):tmp = os.popen(min)return tmp.read()
min1 = '''grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more'''
min2 = '''grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c'''
min3 = '''grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr'''
min4 = '''grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more'''
min5 = '''grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'''
display_format = '%-30s %-20s'
print display_format % ("多少IP在爆破主机的root帐号:", getinfo(min1)[:-1])
print display_format % ("定位有哪些IP在爆破:", getinfo(min2)[:-1])
print display_format % ("爆破用户名字典是:", getinfo(min3)[:-1])
print display_format % ("登录成功的IP有:", getinfo(min4)[:-1])
print display_format % ("登录成功的日期、用户名、IP:", getinfo(min5)[:-1])结果如下:
Linux入侵排查脚本相关推荐
- 应急响应之Windows/Linux(入侵排查篇)
0x01 应急响应介绍 当企业发生入侵事件.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给 ...
- 渗透测试基础 - - - linux入侵排查
目录 排查思路 深入分析,查找入侵原因 检查恶意进程及非法端口 检查恶意程序和可疑启动项 检查第三方软件漏洞 Part2运行进程排查 Part3端口开放检查 Part4检查主机服务 Part5检查历史 ...
- 应急响应-Linux入侵排查(工具篇)
2.1 Rootkit查杀 chkrootkit 网址:http://www.chkrootkit.org 使用方法: wget ftp://ftp.pangeia.com.br/pub/seg/pa ...
- 网络安全——应急响应之入侵排查
一.windows入侵排查 1.入侵排查思路 1.1 检查系统账号安全 1.查看服务器是否有弱口令.远程管理端口是否对公网开放 (根据实际情况咨询相关服务器管理员) 2.检查服务器是否存在可疑账号.新 ...
- 应急响应-window入侵排查
0x00 前言 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方 ...
- Linux入侵类问题排查思路
深入分析,查找入侵原因 一.检查隐藏帐户及弱口令 检查服务器系统及应用帐户是否存在 弱口令: 检查说明:检查管理员帐户.数据库帐户.MySQL 帐户.tomcat 帐户.网站后台管理员帐户等密码设置是 ...
- Linux应急响应入门--入侵排查(全面)
账号安全: 1.用户信息文件 /etc/passwd # 格式:account:password:UID:GID:GECOS:directory:shell # 用户名:密码:用户ID:组ID:用户说 ...
- linux系统被入侵排查过程
针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路.废话少说直奔主题. 账号排查: 1.系统用户信息文件/etc/passwd root:x:0:0: ...
- linux 入侵检测
最近遇到了很多服务器被入侵的例子,为了方便日后入侵检测以及排查取证,我查询了一些linux服务器入侵取证的相关资料,并在此总结分享,以便日后查询. 一般服务器被入侵的迹象,包括但不局限于:由内向外发送 ...
最新文章
- android中的回调
- 图之典—可视化图表的词典
- opencv(4)图像滤波
- openresty开发系列27--openresty中封装redis操作
- Coding:C++类定义实现部分成员函数
- ElasticSearch入门 第一篇:Windows下安装ElasticSearch
- 深入浅出分布式存储的设计与优化之道
- mongodb性能 mysql_MySQL和MongoDB的性能测试
- 如何下载python模块_python中模块包的离线下载教程
- java scjp 试题_JAVA认证历年真题:SCJP考试真题和解析
- 在网页中打开展示pdf文件
- 常用的特效功能实现代码
- 性能测试七种常用方法,以及四大应用领域
- 一文读懂人工智能产业链:基础技术、人工智能技术及人工智能应用
- 《与大象共舞》读书笔记
- 百度人脸识别测试环境配置教程
- Python.win32gui.获取窗体
- EL表达式写三目运算
- 【HDU100】杭电入门一百道 C++ 全 题 解
- 采用串口中断方式实现串口通信