리눅스체크

Linux 비상 대응/정보 수집/취약점 탐지 도구, 기본 구성/네트워크 트래픽/작업 계획/환경 변수/사용자 정보/서비스/bash/악성 파일/커널 루트킷/SSH/Webshell/마이닝 파일/마이닝 프로세스/공급 70+ 지원 체인/서버 리스크 등 13개 항목 점검

업데이트 로그: 2024년 4월 20일

• Markdown 보고서에 대한 출력 조정
• 추가 설치를 방지하려면 ag를 포기하고 Linux 기본 grep 명령을 사용하세요.
• 코드 형식을 최적화하여 더 이상 모든 줄에 tee -a가 필요하지 않습니다.
• Webshell 감지 로직 업데이트
• Authorized_keys 감지 로직 업데이트
• 서버 위험 검사는 JDWP 및 Python HTTP 서버 검사를 추가합니다.
• Docker 컨테이너 감지 추가
• PAM 백도어 탐지 추가
• 배치 머신의 긴급 상황을 처리하기 위해 로컬 보고서 업로드 기능을 추가합니다.

업데이트 로그: 2022년 8월 5일

• 커널 모듈 검사 로그가 너무 많은 문제 수정

업데이트 로그: 2022년 3월 7일

• SSH 소프트 연결 백도어 탐지 추가

업데이트 날짜: 2021년 10월 17일

• Ntpclient/WorkMiner/TeamTNT 마이닝 트로이 목마 감지 기능이 추가되었습니다.
• 루트킷 모듈 감지 로직 추가
• Python pip 중독 감지 추가
• 보려면 $HOME/.profile을 추가하세요.
• 서버 위험 검사 추가(Redis)

• 기본 구성 확인
  • 시스템 구성 변경 확인
  • 시스템 정보(IP 주소/사용자/부팅 시간/시스템 버전/호스트 이름/서버 SN)
  • CPU 사용량
  • 로그인 사용자 정보
  • CPU 톱 15
  • 메모리 TOP 15
  • 남은 디스크 공간 확인
  • 하드 드라이브 마운트
  • 일반적으로 사용되는 소프트웨어 검사
  • /etc/hots
• 네트워크/트래픽 검사
  • ifconfig
  • 네트워크 트래픽
  • 포트 수신
  • 개방형 포트
  • 네트워크 연결
  • TCP 연결 상태
  • 라우팅 테이블
  • 라우팅 및 전달
  • DNS 서버
  • ARP
  • 네트워크 카드 무차별 모드 확인
  • iptables 방화벽
• 작업계획 확인
  • 현재 사용자 작업 계획
  • /etc/system 작업 일정
  • 작업 일정 파일 생성 시간
  • crontab 백도어 문제 해결
• 환경변수 확인
  • 환경
  • 길
  • LD_PRELOAD
  • LD_ELF_PRELOAD
  • LD_AOUT_PRELOAD
  • PROMPT_COMMAND
  • LD_LIBRARY_PATH
  • ld.so.preload
• 사용자 정보 확인
  • 로그인할 수 있는 사용자
  • passwd 파일 수정 날짜
  • sudoers
  • 로그인 정보(마지막/마지막 로그 포함)
  • 과거 로그인 IP
• 서비스 확인
  • SystemD 실행 서비스
  • SystemD 서비스 생성 시간
• 배쉬 체크
  • 역사
  • 기록 명령 감사
  • /etc/프로필
  • $HOME/.profile
  • /etc/rc.local
  • ~/.bash_profile
  • ~/.bashrc
  • 배쉬 리바운드 쉘
• 서류 확인
  • ...숨겨진 파일
  • 시스템 파일 수정 시간 감지
  • 임시 파일 확인(/tmp /var/tmp /dev/shm)
  • 별명
  • suid 특별 허가 확인
  • 프로세스 파일을 찾을 수 없습니다
  • 지난 7일 동안 파일이 변경된 시간은 mtime입니다.
  • 지난 7일 동안 파일이 변경된 시간
  • 200MB를 초과하는 대용량 파일
  • 민감한 파일 감사(nmap/sqlmap/ew/frp/nps 및 기타 해커를 위한 일반적인 도구)
  • 의심되는 해커 파일(해커가 업로드한 wget/curl 등의 프로그램이나 nps 파일을 mysql로 ​​변경하는 등의 악성 프로그램이 일반 소프트웨어로 변경된 경우)
• 커널 루트킷 확인
  • lsmod 의심스러운 모듈
  • 커널 심볼 테이블 확인
  • 루트킷 헌터 확인
  • 루트킷 .ko 모듈 확인
• SSH 확인
  • SSH 폭파
  • SSHD 감지
  • SSH 백도어 구성
  • SSH inetd 백도어 확인
  • SSH 키
• 웹쉘 확인
  • PHP 웹쉘 확인
  • jsp 웹쉘 확인
• 마이닝 파일/프로세스 확인
  • 마이닝 파일 확인
  • 채굴과정 확인
  • WorkMiner 감지
  • Ntp클라이언트 감지
• 공급망 중독 검사
  • Python PIP 중독 검사
• 서버 위험 점검
  • Redis의 취약한 비밀번호 감지
  • JDWP 서비스 감지
  • Python http.server 감지
• 도커 권한 확인

첫 번째 방법: git clone을 통해 설치

git clone https://github.com/al0ne/LinuxCheck.git
chmod u+x LinuxCheck.sh
./LinuxCheck.sh  

두 번째 방법: 온라인으로 직접 전화하기 [온라인으로 전화할 경우 보고서 업로드 기능을 사용할 수 없습니다.]

 bash -c "$(curl -sSL https://raw.githubusercontent.com/al0ne/LinuxCheck/master/LinuxCheck.sh)"  

파일은 ipaddr_hostname_username_timestamp.log 형식으로 저장됩니다.

배치 머신으로 전달되면 스크립트는 실행 후 특정 URL에 자동으로 제출됩니다. 스크립트의 webhook_url을 자신의 주소로 변경하세요.

 # 报告上报的地址
webhook_url= ' http://localhost:5000/upload '

upload_report () {

  # 上传到指定接口
  if [[ -n $webhook_url ]] ; then
    curl -X POST -F " file=@ $filename " " $webhook_url "
  fi

}

Flask를 사용하여 서버에서 보고된 Markdown 보고서를 받기 위해 서버에서 서비스를 시작합니다.

 from flask import Flask , request

app = Flask ( __name__ )

@ app . route ( '/upload' , methods = [ 'POST' ])
def upload_file ():
    if 'file' not in request . files :
        return "No file part" , 400
    file = request . files [ 'file' ]
    if file . filename == '' :
        return "No selected file" , 400
    if file :
        filename = file . filename
        file . save ( filename )
        return "File successfully uploaded" , 200

if __name__ == '__main__' :
    app . run ( debug = True , host = "0.0.0.0" , port = 9999 )

본 도구의 작성은 주로 다음의 도구/글을 참고하였으며 개인적인 경험을 바탕으로 작성되었습니다.

라인넘 https://github.com/lis912/Evaluation_tools
https://ixyzero.com/blog/archives/4.html
https://github.com/T0xst/linux
https://github.com/grayddq/GScan