LinuxPeriksa

Tanggap darurat Linux/pengumpulan informasi/alat deteksi kerentanan, mendukung konfigurasi dasar/lalu lintas jaringan/rencana tugas/variabel lingkungan/informasi pengguna/Layanan/bash/file berbahaya/kernel Rootkit/SSH/Webshell/file penambangan/proses penambangan/pasokan 70+ inspeksi dalam 13 kategori termasuk risiko rantai/server

Log pembaruan: 20 April 2024

• Sesuaikan output ke laporan penurunan harga
• Abaikan ag dan gunakan perintah grep asli Linux untuk menghindari instalasi tambahan
• Optimalkan format kode, tidak perlu lagi tee -a untuk setiap baris
• Perbarui logika deteksi Webshell
• Perbarui logika deteksi otor_keys
• Pemeriksaan Risiko Server menambahkan pemeriksaan JDWP dan Python HTTP Server
• Tambahkan deteksi kontainer Docker
• Tambahkan deteksi pintu belakang PAM
• Tambahkan kemampuan pengunggahan laporan lokal untuk menangani keadaan darurat mesin batch.

Log pembaruan: 5 Agustus 2022

• Perbaiki masalah terlalu banyak log pemeriksaan modul kernel

Log pembaruan: 07 Maret 2022

• Tambahkan deteksi pintu belakang koneksi lunak SSH

Tanggal pembaruan: 17 Oktober 2021

• Menambahkan deteksi Trojan penambangan Ntpclient/WorkMiner/TeamTNT
• Tambahkan logika deteksi modul Rootkit
• Tambahkan deteksi keracunan pip Python
• Tambahkan $HOME/.profile untuk melihat
• Tambahkan pemeriksaan risiko server (Redis)

• Pemeriksaan konfigurasi dasar
  • Pemeriksaan perubahan konfigurasi sistem
  • Informasi sistem (alamat IP/pengguna/waktu boot/versi sistem/Nama Host/server SN)
  • penggunaan CPU
  • Informasi pengguna masuk
  • CPU TERBAIK 15
  • Memori TOP 15
  • Periksa sisa ruang disk
  • Pemasangan hard drive
  • Pemeriksaan perangkat lunak yang umum digunakan
  • /etc/hots
• Inspeksi jaringan/lalu lintas
  • ifconfig
  • lalu lintas jaringan
  • Mendengarkan port
  • Pelabuhan terbuka
  • koneksi jaringan
  • Status koneksi TCP
  • tabel perutean
  • Perutean dan penerusan
  • Server DNS
  • ARP
  • Pemeriksaan mode promiscuous kartu jaringan
  • firewall iptables
• Pemeriksaan rencana tugas
  • Rencana tugas pengguna saat ini
  • /etc/jadwal tugas sistem
  • Waktu pembuatan file jadwal tugas
  • pemecahan masalah pintu belakang crontab
• Pemeriksaan variabel lingkungan
  • env
  • jalur
  • LD_PRELOAD
  • LD_ELF_PRELOAD
  • LD_AOUT_PRELOAD
  • PROMPT_COMMAND
  • LD_LIBRARY_PATH
  • ld.so.preload
• Pemeriksaan informasi pengguna
  • Pengguna yang dapat login
  • tanggal modifikasi file passwd
  • sudoers
  • Informasi login (dengan/last/lastlog)
  • IP login historis
• Pemeriksaan layanan
  • SystemD menjalankan layanan
  • Waktu pembuatan layanan SystemD
• pemeriksaan pesta
  • Sejarah
  • Audit perintah sejarah
  • /etc/profile
  • $HOME/.profil
  • /etc/rc.local
  • ~/.bash_profile
  • ~/.bashrc
  • cangkang rebound bash
• Pemeriksaan dokumen
  • ...file tersembunyi
  • Deteksi waktu modifikasi file sistem
  • Pemeriksaan file sementara (/tmp /var/tmp /dev/shm)
  • alias
  • suid pemeriksaan izin khusus
  • File proses tidak ditemukan
  • waktu perubahan file dalam tujuh hari terakhir
  • waktu perubahan file dalam tujuh hari terakhir
  • File besar> 200mb
  • Audit file sensitif (nmap/sqlmap/ew/frp/nps dan alat umum lainnya untuk peretas)
  • File peretas yang mencurigakan (program seperti wget/curl diunggah oleh peretas, atau program jahat diubah ke perangkat lunak normal seperti file nps ke mysql)
• Pemeriksaan Rootkit Kernel
  • lsmod modul mencurigakan
  • Pemeriksaan tabel simbol kernel
  • pemeriksaan pemburu rootkit
  • pemeriksaan modul rootkit .ko
• pemeriksaan SSH
  • Peledakan SSH
  • Deteksi SSHD
  • Konfigurasi pintu belakang SSH
  • Pemeriksaan pintu belakang SSH inetd
  • kunci SSH
• Pemeriksaan kulit web
  • pemeriksaan kulit web php
  • jsp pemeriksaan webshell
• Pemeriksaan file/proses penambangan
  • Pemeriksaan file penambangan
  • Pemeriksaan proses penambangan
  • Deteksi WorkMiner
  • Deteksi klien ntp
• Inspeksi keracunan rantai pasokan
  • Pemeriksaan keracunan PIP Python
• Pemeriksaan risiko server
  • Redis deteksi kata sandi yang lemah
  • Deteksi layanan JDWP
  • Deteksi http.server Python
• Pemeriksaan izin Docker

Cara pertama: instal melalui git clone

git clone https://github.com/al0ne/LinuxCheck.git
chmod u+x LinuxCheck.sh
./LinuxCheck.sh  

Cara kedua: menelepon langsung secara online [Anda tidak dapat menggunakan kemampuan mengunggah laporan jika menelepon online]

 bash -c "$(curl -sSL https://raw.githubusercontent.com/al0ne/LinuxCheck/master/LinuxCheck.sh)"  

File akan disimpan dalam format ipaddr_hostname_username_timestamp.log

Jika dikirimkan ke mesin batch, skrip akan secara otomatis dikirimkan ke URL tertentu setelah eksekusi. Ubah webhook_url di skrip ke alamat Anda sendiri.

 # 报告上报的地址
webhook_url= ' http://localhost:5000/upload '

upload_report () {

  # 上传到指定接口
  if [[ -n $webhook_url ]] ; then
    curl -X POST -F " file=@ $filename " " $webhook_url "
  fi

}

Gunakan Flask untuk memulai layanan di server Anda untuk menerima laporan penurunan harga yang dilaporkan oleh server.

 from flask import Flask , request

app = Flask ( __name__ )

@ app . route ( '/upload' , methods = [ 'POST' ])
def upload_file ():
    if 'file' not in request . files :
        return "No file part" , 400
    file = request . files [ 'file' ]
    if file . filename == '' :
        return "No selected file" , 400
    if file :
        filename = file . filename
        file . save ( filename )
        return "File successfully uploaded" , 200

if __name__ == '__main__' :
    app . run ( debug = True , host = "0.0.0.0" , port = 9999 )

Penulisan alat ini terutama mengacu pada alat/artikel berikut dan diselesaikan berdasarkan pengalaman pribadi.

Linenum https://github.com/lis912/Evaluation_tools
https://ixyzero.com/blog/archives/4.html
https://github.com/T0xst/linux
https://github.com/grayddq/GScan