LinuxCheck

Linux緊急対応/情報収集/脆弱性検出ツール、基本設定/ネットワークトラフィック/タスクプラン/環境変数/ユーザー情報/サービス/bash/悪意のあるファイル/カーネルルートキット/SSH/Webシェル/マイニングファイル/マイニングプロセス/サプライをサポート 70+チェーン/サーバーのリスクを含む 13 カテゴリーの検査

更新履歴: 2024 年 4 月 20 日

• Markdown レポートへの出力を調整する
• ag を放棄し、Linux ネイティブの grep コマンドを使用して、追加のインストールを回避します。
• コード形式を最適化し、行ごとに tee -a を実行する必要がなくなりました。
• Webshel​​l 検出ロジックを更新する
• authorized_keys 検出ロジックを更新する
• サーバー リスク チェックに JDWP および Python HTTP サーバー チェックが追加されました
• Dockerコンテナ検出を追加
• PAM バックドア検出を追加する
• バッチ マシンの緊急事態に対処するローカル レポートのアップロード機能を追加します。

更新履歴: 2022 年 8 月 5 日

• カーネルモジュールチェックログが多すぎる問題を修正

更新履歴：2022年3月7日

• SSHソフト接続バックドア検出を追加

更新日：2021年10月17日

• Ntpclient/WorkMiner/TeamTNT マイニング トロイの木馬の検出を追加しました
• ルートキットモジュール検出ロジックを追加
• Python pip ポイズニング検出を追加
• $HOME/.profile を追加して表示します
• サーバーリスクチェックの追加（Redis）

• 基本的な構成のチェック
  • システム構成変更チェック
  • システム情報 (IP アドレス/ユーザー/起動時間/システム バージョン/ホスト名/サーバー SN)
  • CPU使用率
  • ログインユーザー情報
  • CPUトップ15
  • メモリーTOP15
  • 残りのディスク容量を確認する
  • ハードドライブマウント
  • よく使用されるソフトウェアのチェック
  • /etc/hots
• ネットワーク/トラフィック検査
  • ifconfig
  • ネットワークトラフィック
  • ポートリスニング
  • ポートを開く
  • ネットワーク接続
  • TCP接続ステータス
  • ルーティングテーブル
  • ルーティングと転送
  • DNSサーバー
  • ARP
  • ネットワークカードのプロミスキャスモードチェック
  • iptables ファイアウォール
• タスク計画のチェック
  • 現在のユーザーのタスク計画
  • /etc/システムタスクスケジュール
  • タスクスケジュールファイルの作成時間
  • crontab バックドアのトラブルシューティング
• 環境変数のチェック
  • 環境
  • パス
  • LD_PRELOAD
  • LD_ELF_PRELOAD
  • LD_AOUT_PRELOAD
  • プロンプト_コマンド
  • LD_LIBRARY_PATH
  • ld.so.preload
• ユーザー情報の確認
  • ログインできるユーザー
  • passwd ファイルの変更日
  • sudoers
  • ログイン情報 (前回/最終ログ付き)
  • 過去のログイン IP
• サービスチェック
  • SystemD 実行サービス
  • SystemD サービスの作成時間
• バッシュチェック
  • 歴史
  • 履歴コマンド監査
  • /etc/プロファイル
  • $HOME/.profile
  • /etc/rc.local
  • ~/.bash_profile
  • ~/.bashrc
  • バッシュリバウンドシェル
• 書類チェック
  • ...隠しファイル
  • システムファイル変更時刻の検出
  • 一時ファイルのチェック (/tmp /var/tmp /dev/shm)
  • エイリアス
  • suid の特別な権限のチェック
  • プロセスファイルが見つかりません
  • 過去 7 日間のファイル変更の mtime
  • 過去 7 日間のファイル変更の ctime
  • 200MBを超える大きなファイル
  • 機密ファイルの監査 (nmap/sqlmap/ew/frp/nps およびハッカー向けのその他の一般的なツール)
  • 不審なハッカー ファイル (ハッカーによってアップロードされた wget/curl などのプログラム、または mysql への nps ファイルなどの通常のソフトウェアに変更された悪意のあるプログラム)
• カーネルルートキットチェック
  • lsmod 疑わしいモジュール
  • カーネルシンボルテーブルチェック
  • ルートキットハンターチェック
  • ルートキット .ko モジュールのチェック
• SSHチェック
  • SSHブラスト
  • SSHD検出
  • SSHバックドア構成
  • SSH inetd バックドアチェック
  • SSHキー
• Webシェルチェック
  • phpウェブシェルチェック
  • jsp Webシェルチェック
• マイニングファイル/プロセスチェック
  • マイニングファイルのチェック
  • マイニングプロセスのチェック
  • WorkMiner の検出
  • Ntpclient の検出
• サプライチェーン汚染検査
  • Python PIP ポイズニング チェック
• サーバーのリスクチェック
  • Redis の脆弱なパスワードの検出
  • JDWPサービスの検出
  • Python http.server の検出
• Docker 権限チェック

最初の方法: git clone を介してインストールする

git clone https://github.com/al0ne/LinuxCheck.git
chmod u+x LinuxCheck.sh
./LinuxCheck.sh  

2 番目の方法: オンラインで直接電話する [オンラインで電話する場合、レポートのアップロード機能は使用できません]

 bash -c "$(curl -sSL https://raw.githubusercontent.com/al0ne/LinuxCheck/master/LinuxCheck.sh)"  

ファイルは ipaddr_hostname_username_timestamp.log の形式で保存されます。

バッチ マシンに配信される場合、スクリプトは実行後に特定の URL に自動的に送信されます。スクリプト内の webhook_url を独自のアドレスに変更します。

 # 报告上报的地址
webhook_url= ' http://localhost:5000/upload '

upload_report () {

  # 上传到指定接口
  if [[ -n $webhook_url ]] ; then
    curl -X POST -F " file=@ $filename " " $webhook_url "
  fi

}

Flask を使用してサーバー上でサービスを開始し、サーバーによって報告された Markdown レポートを受信します。

 from flask import Flask , request

app = Flask ( __name__ )

@ app . route ( '/upload' , methods = [ 'POST' ])
def upload_file ():
    if 'file' not in request . files :
        return "No file part" , 400
    file = request . files [ 'file' ]
    if file . filename == '' :
        return "No selected file" , 400
    if file :
        filename = file . filename
        file . save ( filename )
        return "File successfully uploaded" , 200

if __name__ == '__main__' :
    app . run ( debug = True , host = "0.0.0.0" , port = 9999 )

このツールの執筆は主に以下のツール/記事を参考にしており、個人的な経験に基づいて完成しています。

Linenum https://github.com/lis912/Evaluation_tools
https://ixyzero.com/blog/archives/4.html
https://github.com/T0xst/linux
https://github.com/grayddq/GScan