linux应急处置/信息搜集/漏洞检测工具,支持基础配置/网络流量/任务计划/环境变量/用户信息/services/bash/恶意文件/内核rootkit/ssh/webshell/挖矿文件/挖矿进程/供应链/服务器风险等13类70 项检查
功能
●基础配置检查
系统配置改动检查
系统信息(ip地址/用户/开机时间/系统版本/hostname/服务器sn)
cpu使用率
登录用户信息
cpu top 15
内存 top 15
磁盘剩余空间检查
硬盘挂载
常用软件检查
/etc/hots
●网络/流量检查
ifconfig
网络流量
端口监听
对外开放端口
网络连接
tcp连接状态
路由表
路由转发
dns server
arp
网卡混杂模式检查
iptables 防火墙
●任务计划检查
当前用户任务计划
/etc/系统任务计划
任务计划文件创建时间
crontab 后门排查
●环境变量检查
env
path
ld_preload
ld_elf_preload
ld_aout_preload
prompt_command
ld_library_path
ld.so.preload
●用户信息检查
可登陆用户
passwd文件修改日期
sudoers
登录信息(w/last/lastlog)
历史登陆ip
●services 检查
systemd运行服务
systemd服务创建时间
●bash检查
history
history命令审计
/etc/profile
$home/.profile
/etc/rc.local
~/.bash_profile
~/.bashrc
bash反弹shell
●文件检查
...隐藏文件
系统文件修改时间检测
临时文件检查(/tmp /var/tmp /dev/shm)
alias
suid特殊权限检查
进程存在文件未找到
近七天文件改动 mtime
近七天文件改动 ctime
大文件>200mb
敏感文件审计(nmap/sqlmap/ew/frp/nps等黑客常用工具)
可疑黑客文件(黑客上传的wget/curl等程序,或者将恶意程序改成正常软件例如nps文件改为mysql)
●内核rootkit 检查
lsmod 可疑模块
内核符号表检查
rootkit hunter 检查
rootkit .ko模块检查
●ssh检查
ssh 爆破
sshd 检测
ssh 后门配置
ssh inetd后门检查
ssh key
●webshell 检查
php webshell检查
jsp webshell检查
●挖矿文件/进程检查
挖矿文件检查
挖矿进程检查
workminer检测
ntpclient检测
●供应链投毒检查
python pip 投毒检查
●服务器风险检查
redis弱密码检测
- 关键词标签:
- linux应急处置 信息搜集 漏洞检测工具