exam-jcfxu / emergency-response Goto Github PK
View Code? Open in Web Editor NEWThis project forked from scopion/emergency-response
应急响应检查脚本
This project forked from scopion/emergency-response
应急响应检查脚本
应急响应脚本 工具介绍 Linux工具 Chkrootkit Chkrootkit:文件对比工具。使用系统命令检查系统命令文件有没有被篡改。 在操作系统刚被安装之后,或者说服务器开放之前,备份 chkrootkit 使用的系统命令,在一些必要的时候(怀疑系统命令已被修改的情况等等),让 chkrootkit 使用初始备份的系统命令进行工作。 安装包:chkrootkit.tar.gz 编译:make sense 使用: 备份系统初始命令 Mkdir –p /usr/share/.commands/ cp $(which --skip-alias awk cut echo find egrep id head ls netstat ps strings sed uname ssh) /usr/share/.commands/ 检测病毒 ./chkrootkit ./chkrootkit -p /usr/share/.commands/ #commands是一个存放原生命令的目录。检查过程中调用这个目录里面的命令而不再使用系统命令(有被篡改的风险) Unhide Unhide:隐藏进程及端口查询工具。使用多种方式查询隐藏进程 安装包:unhide-20121229.tgz centos安装:yum -y install epel-release yum install -y unhide ubuntu安装:apt-get -y install unhide 编译: If you ARE using a Linux kernel >= 2.6 gcc -Wall -O2 --static -pthread unhide-linux*.c unhide-output.c -o unhide-linux gcc -Wall -O2 --static unhide_rb.c -o unhide_rb gcc -Wall -O2 --static unhide-tcp.c unhide-tcp-fast.c unhide-output.c -o unhide-tcp ln -s unhide-linux unhide Else (Linux < 2.6, *BSD, Solaris and other Unice) gcc --static unhide-posix.c -o unhide-posix ln -s unhide unhide-posix 使用 ./unhide sys >>/tmp/unhide.log ./unhide brute >>/tmp/unhide.log ./unhide proc >>/tmp/unhide.log ./unhide procall >>/tmp/unhide.log ./unhide procfs >>/tmp/unhide.log ./unhide quick >>/tmp/unhide.log ./unhide reverse >>/tmp/unhide.log ./unhide-tcp >>/tmp/unhide.log unhide.tar.gz 文件夹是已编译好的。 Clamav Clamav:Linux下病毒查杀程序。 安装包:clamav-0.99.2.tar.gz 编译安装 yum install openssl* -y ./configure --with-user=root --with-group=root make make install centos安装:yum -y install epel-release yum install -y clamav ubuntu安装:apt-get -y install clamav 使用 配置文件 将freshclam.conf 文件复制到/usr/local/etc/ 1、升级 freshclam (升级病毒库) 保证你的LINUX可以正常上网哦. mkdir -p /var/lib/clamav/ 文件clamdb.tar.gz 是2017.6.12升级的病毒库文件。解压之后放在/var/lib/clamav/下。 2、杀毒 clamscan --查杀当前目录下的文件 clamscan -r --查杀当前目录的所有文件及目录 clamscan dir --查杀dir目录 clamscan -r dir --查杀目录dir下的所有文件及目录 nohup clamscan -r --bell -i / >> /tmp/clamav.log 卸载 ./configure --with-user=root --with-group=root sudo make uninstall rkhunter rkhunter:Linux下杀毒软件。 安装包:rkhunter-1.4.2.tar.gz 安装 ./installer.sh –install centos安装:yum -y install epel-release yum install -y rkhunter ubuntu安装:apt-get -y install rkhunter 使用 rkhunter -c --sk >>check/rkhunter.log 卸载 ./installer.sh --remove Windows 365门神程序:365MSInst_V2.0.exe 。知道创宇出品防御产品 官网:https://www.yunaq.com/365menshen/ 安全狗程序:safedogfwqV5.0,safedogIISV4.0.exe,safedogwzApache.exe 官网:http://www.safedog.cn/ 隐藏进程排查工具:unhide.exe 官网:http://www.unhide-forensics.info/ 日志查看工具:elex_setup.exe 官网:https://eventlogxp.com/ 脚本介绍: 脚本文件 liunx_security_check.sh offline.sh 检查内容 Linux 1.系统信息(系统版本,启动时间,内存情况,网络情况,系统文件) 2.异常用户 3.系统服务 4.开机启动项 5.计划任务 6.远程服务 7.进程列表 8.网络连接 9.异常文件 10.登录信息 11.网马脚本 12.系统关键文件 13.系统隐藏进程与端口 14.后门文件 15.系统日志 Windows Windows 排查有文件排查,用户排查,进程排查,服务排查,日志排除。 文件排查:可以使用安全软件进行病毒以及后门网马的排查 用户排查:查看系统所有用户及创建时间。 进程排查:进程的异常表现有CPU,内存,文件位置,文件名称 服务排查:服务异常表现有名称,描述,启动类型 日志排除。重点是安全日志 ,服务日志 以及应用日志。从电脑管理找日志,然后导出查看更加方便。 注意事项 脚本中的应用日志信息排查语句注释掉了。应用日志信息要根据进程及服务信息确定目录位置,然后使用脚本中的语句排查。 找到异常进程的PID 之后,可以 ls –la /proc/pid 查看相关信息。结合lsof + L1,可以发现更多信息。 注意保存截图,注意备份恶意文件。 根据脚本排查出的信息确定攻击的精确时间,然后根据时间再去查询对应日志,可以把攻击梳理的更加清晰。 可以使用Strings 查看文件中的字符串,针对二进制文件,进程文件更有用。 Stat 输出说明 Access time(atime):是指取用文件的时间,所谓取用,常见的操作有:使用编辑器查看文件内容,使用cat命令显示文件内容,使用cp命令把该文件(即来源文件)复制成其他文件,或者在这个文件上运用grep sed more less tail head 等命令,凡是读取而不修改文件的操作,均衡改变文件的Access time. Modify time(mtime):是指修改文件内容的时间,只要文件内容有改动(如使用转向输出或转向附加的方式)或存盘的操作,就会改变文件的Modify time,平常我们使用ls –l查看文件时,显示的时间就是Modify time Change time(ctime):是指文件属性或文件位置改动的时间,如使用chmod,chown,mv指令集使用ln做文件的硬是连接,就会改变文件的Change time. Note: 如果修改文件(使用编辑器存盘或使用) >>转向操作),则Modify time和Change time 会同步更新成写入的时间,但Access time不变。 如果执行touch文件,则3种时间全部改变 使用ln –s做文件的软式连接,会改变文件的取用时间 。 使用ls –la查看一般文件,不会更改这三种时间,但如果这个文件时符号链接文件,则会改变取用的时间(Access time)
A declarative, efficient, and flexible JavaScript library for building user interfaces.
🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.
TypeScript is a superset of JavaScript that compiles to clean JavaScript output.
An Open Source Machine Learning Framework for Everyone
The Web framework for perfectionists with deadlines.
A PHP framework for web artisans
Bring data to life with SVG, Canvas and HTML. 📊📈🎉
JavaScript (JS) is a lightweight interpreted programming language with first-class functions.
Some thing interesting about web. New door for the world.
A server is a program made to process requests and deliver data to clients.
Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.
Some thing interesting about visualization, use data art
Some thing interesting about game, make everyone happy.
We are working to build community through open source technology. NB: members must have two-factor auth.
Open source projects and samples from Microsoft.
Google ❤️ Open Source for everyone.
Alibaba Open Source for everyone
Data-Driven Documents codes.
China tencent open source team.