LinuxCheck下載 - LinuxCheck原始碼下載

Linux檢查

其他源碼

更新LinuxCheck脚本

下載

LinuxCheck

Linux緊急處置/資訊蒐集/漏洞偵測工具，支援基礎設定/網路流量/任務計畫/環境變數/使用者資訊/Services/bash/惡意檔案/核心Rootkit/SSH/Webshell/挖礦檔案/挖礦進程/供應鏈/伺服器風險等13類70+項檢查

更新

更新日誌：2024年4月20日

調整輸出為Markdown報告
棄用ag，還是使用Linux原生的grep指令，避免額外安裝
優化程式碼格式，不在每條都要tee -a
更新Webshell偵測邏輯
更新authorized_keys偵測邏輯
伺服器風險檢查新增JDWP和Python HTTP Server檢查
新增Docker 容器檢測
新增PAM後門偵測
增加本地報告上傳能力，應對大量機器應急的情況。

更新日誌：2022年08月05日

修復內核模組檢查日誌太多問題

更新日誌：2022年03月07日

新增SSH軟連接後門檢測

更新日期：2021年10月17日

加入Ntpclient/WorkMiner/TeamTNT挖礦木馬偵測
新增Rootkit模組檢測邏輯
加入Python pip投毒檢測
新增$HOME/.profile查看
新增伺服器風險檢查(Redis)

功能

基礎配置檢查
- 系統配置改動檢查
- 系統資訊（IP位址/用戶/開機時間/系統版本/Hostname/伺服器SN）
- CPU使用率
- 登入使用者資訊
- CPU TOP 15
- 內存TOP 15
- 磁碟剩餘空間檢查
- 硬碟掛載
- 常用軟體檢查
- /etc/hots
網路/流量檢查
- ifconfig
- 網路流量
- 埠監聽
- 對外開放埠
- 網路連線
- TCP連線狀態
- 路由表
- 路由轉送
- DNS Server
- ARP
- 網路卡混雜模式檢查
- iptables 防火牆
任務計劃檢查
- 目前使用者任務計劃
- /etc/系統任務計劃
- 任務計劃檔案建立時間
- crontab 後門排查
環境變數檢查
- env
- path
- LD_PRELOAD
- LD_ELF_PRELOAD
- LD_AOUT_PRELOAD
- PROMPT_COMMAND
- LD_LIBRARY_PATH
- ld.so.preload
使用者資訊檢查
- 可登陸用戶
- passwd文件修改日期
- sudoers
- 登入資訊（w/last/lastlog）
- 歷史登陸ip
Services 檢查
- SystemD運作服務
- SystemD服務建立時間
bash檢查
- History
- History指令審計
- /etc/profile
- $HOME/.profile
- /etc/rc.local
- ~/.bash_profile
- ~/.bashrc
- bash反彈shell
文件檢查
- …。隱藏文件
- 系統檔案修改時間檢測
- 臨時檔案檢查（/tmp /var/tmp /dev/shm）
- alias
- suid特殊權限檢查
- 進程存在文件未找到
- 近七天文件改動mtime
- 近七天文件改動ctime
- 大檔案>200mb
- 敏感文件審計（nmap/sqlmap/ew/frp/nps等駭客常用工具）
- 可疑駭客檔案（駭客上傳的wget/curl等程序，或將惡意程式改成正常軟體例如nps檔案改為mysql）
內核Rootkit 檢查
- lsmod 可疑模組
- 內核符號表檢查
- rootkit hunter 檢查
- rootkit .ko模組檢查
SSH檢查
- SSH 爆破
- SSHD 檢測
- SSH 後門配置
- SSH inetd後門檢查
- SSH key
Webshell 檢查
- php webshell檢查
- jsp webshell檢查
挖礦文件/進程檢查
- 挖礦文件檢查
- 挖礦進程檢查
- WorkMiner偵測
- Ntpclient檢測
供應鏈投毒檢查
- Python PIP 投毒檢查
伺服器風險檢查
- Redis弱密碼偵測
- JDWP 服務偵測
- Python http.server 偵測
Docker 權限檢查

Usage

第一種方式：透過git clone 安裝

git clone https://github.com/al0ne/LinuxCheck.git
chmod u+x LinuxCheck.sh
./LinuxCheck.sh

第二種方式：直接線上呼叫【線上呼叫就沒辦法使用報告上傳的能力】

 bash -c "$(curl -sSL https://raw.githubusercontent.com/al0ne/LinuxCheck/master/LinuxCheck.sh)"

檔案會儲存成ipaddr_hostname_username_timestamp.log 這種格式

報告自動上傳

如果是批次機器下發，腳本執行後會自動提交到某一個url下，將腳本裡面的webhook_url 改成你自己的位址

 # 报告上报的地址
webhook_url= ' http://localhost:5000/upload '

upload_report () {

  # 上传到指定接口
  if [[ -n $webhook_url ]] ; then
    curl -X POST -F " file=@ $filename " " $webhook_url "
  fi

}

在你的伺服器上用Flask起一個服務，接收伺服器上報的Markdown報告。

 from flask import Flask , request

app = Flask ( __name__ )

@ app . route ( '/upload' , methods = [ 'POST' ])
def upload_file ():
    if 'file' not in request . files :
        return "No file part" , 400
    file = request . files [ 'file' ]
    if file . filename == '' :
        return "No selected file" , 400
    if file :
        filename = file . filename
        file . save ( filename )
        return "File successfully uploaded" , 200

if __name__ == '__main__' :
    app . run ( debug = True , host = "0.0.0.0" , port = 9999 )

參考

此工具的編寫主要參考了以下幾款工具/文章並結合個人經驗完成

Linenum https://github.com/lis912/Evaluation_tools
https://ixyzero.com/blog/archives/4.html
https://github.com/T0xst/linux
https://github.com/grayddq/GScan

展開

附加信息