Linux应急响应Gscan使用
该工具检查项目如下:
1、主机信息获取
2、系统初始化alias检查
3、文件类安全扫描
3.1、系统重要文件完整行扫描
3.2、系统可执行文件安全扫描
3.3、临时目录文件安全扫描
3.4、用户目录文件扫描
3.5、可疑隐藏文件扫描
4、各用户历史操作类
4.1、境外ip操作类
4.2、反弹shell类
5、进程类安全检测
5.1、CUP和内存使用异常进程排查
5.2、隐藏进程安全扫描
5.3、反弹shell类进程扫描
5.4、恶意进程信息安全扫描
5.5、进程对应可执行文件安全扫描
6、网络类安全检测
6.1、境外IP链接扫描
6.3、恶意特征链接扫描
6.4、网卡混杂模式检测
7、后门类检测
7.1、LD_PRELOAD后门检测
7.2、LD_AOUT_PRELOAD后门检测
7.3、LD_ELF_PRELOAD后门检测
7.4、LD_LIBRARY_PATH后门检测
7.5、ld.so.preload后门检测
7.6、PROMPT_COMMAND后门检测
7.7、Cron后门检测
7.8、Alias后门
7.9、SSH 后门检测
7.10、SSH wrapper 后门检测
7.11、inetd.conf 后门检测
7.12、xinetd.conf 后门检测
7.13、setUID 后门检测
7.14、8种系统启动项后门检测
8、账户类安全排查
8.1、root权限账户检测
8.2、空口令账户检测
8.3、sudoers文件用户权限检测
8.4、查看各账户下登录公钥
8.5、账户密码文件权限检测
9、日志类安全分析
9.1、secure登陆日志
9.2、wtmp登陆日志
9.3、utmp登陆日志
9.4、lastlog登陆日志
10、安全配置类分析
10.1、DNS配置检测
10.2、Iptables防火墙配置检测
10.3、hosts配置检测
11、Rootkit分析
11.1、检查已知rootkit文件类特征
11.2、检查已知rootkit LKM类特征
11.3、检查已知恶意软件类特征检测
12.WebShell类文件扫描
12.1、WebShell类文件扫描该工具支持功能如下:
sh-3.2# python GScan.py -h
_______ _______. ______ ___ .__ __.
/ _____| / | / | / \ | \ | | {version:v0.1}
| | __ | (----`| ,----' / ^ \ | \| |
| | |_ | \ \ | | / /_\ \ | . ` | {author:咚咚呛}
| |__| | .----) | | `----. / _____ \ | |\ |
\______| |_______/ \______|/__/ \__\ |__| \__| http://grayddq.top
Usage: GScan.py [options]
Options:
-h, --help show this help message and exit
--version 当前程序版本
Mode:
GScan running mode options
--overseas 境外模式,此参数将不进行境外ip的匹配
--full 完全模式,此参数将启用完全扫描
--debug 调试模式,进行程序的调试数据输出
--dif 差异模式,比对上一次的结果,输出差异结果信息。
--sug 排查建议,用于对异常点的手工排查建议
--pro 处理方案,根据异常风险生成初步的处理方案
Optimization:
Optimization options
--time=TIME 搜索指定时间内主机改动过的所有文件,demo: --time='2019-05-07
00:00:00~2019-05-07 23:00:00'
--job 添加定时任务,用于定时执行程序
--log 打包当前系统的所有安全日志(暂不支持)实战
1.扫描
sudo python GScan.py根据系统分析的情况,溯源后的攻击行动轨迹为:
[1][风险] 黑客在2021-10-10 13:59:33时间,进行了setuid 后门植入,文件/usr/bin/ntfs-3g 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限
[2][风险] 黑客在2022-02-14 08:15:03时间,进行了setuid 后门植入,文件/usr/bin/kismet_cap_ti_cc_2531 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限
[3][风险] 黑客在2022-02-14 08:15:03时间,进行了setuid 后门植入,文件/usr/bin/kismet_cap_ubertooth_one 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限
[4][风险] 黑客在2022-02-14 08:15:03时间,进行了setuid 后门植入,文件/usr/bin/kismet_cap_linux_bluetooth 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限
[5][风险] 黑客在2022-02-14 08:15:03时间,进行了setuid 后门植入,文件/usr/bin/kismet_cap_nrf_mousejack 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限
[6][风险] 黑客在2022-02-14 08:15:03时间,进行了setuid 后门植入,文件/usr/bin/kismet_cap_nxp_kw41z 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限
[7][风险] 黑客在2022-02-14 08:15:03时间,进行了setuid 后门植入,文件/usr/bin/kismet_cap_rz_killerbee 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限
[8][风险] 黑客在2022-02-14 08:15:03时间,进行了setuid 后门植入,文件/usr/bin/kismet_cap_linux_wifi 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限
[9][风险] 黑客在2022-02-14 08:15:03时间,进行了setuid 后门植入,文件/usr/bin/kismet_cap_nrf_51822 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限
[10][风险] 黑客在2022-02-14 08:15:03时间,进行了setuid 后门植入,文件/usr/bin/kismet_cap_ti_cc_2540 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限
[11][风险] 黑客在2022-02-14 08:15:03时间,进行了setuid 后门植入,文件/usr/bin/kismet_cap_nrf_52840 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限
[12][风险] 黑客在2022-03-10 01:26:32时间,进行了setuid 后门植入,文件/usr/lib/mysql/plugin/auth_pam_tool_dir/auth_pam_tool 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限
[13][可疑] 黑客在2022-07-09 21:44:19时间,进行了账户修改设置,shadow文件权限变更,不为----------
------------------------------
扫描完毕,扫描结果已记入到 /home/test/Desktop/GScan-master/log/gscan.log 文件中,请及时查看
可以看到,我们扫描出了威胁项目,针对处理即可