小迪渗透吧-提供最专业的渗透测试培训,web安全培训,网络安全培训,代码审计培训,安全服务培训,CTF比赛培训,SRC平台挖掘培训,红蓝对抗培训!
扫描关注小迪渗透吧-提供最专业的渗透测试培训,web安全培训,网络安全培训,代码审计培训,安全服务培训,CTF比赛培训,SRC平台挖掘培训,红蓝对抗培训!

微信扫一扫加我哦~

Linux主机安全应急响应工具

小迪渗透吧-提供最专业的渗透测试培训,web安全培训,网络安全培训,代码审计培训,安全服务培训,CTF比赛培训,SRC平台挖掘培训,红蓝对抗培训!2019-12-15安全文档 2976 0A+A-

Linux主机安全应急响应工具

前言

这个工具可以在进行应急响应的时候提供很大的便利。

项目地址

image.png

介绍

本程序旨在为安全应急响应人员对Linux主机排查时提供便利,实现主机侧Checklist的自动全面化检测,根据检测结果自动数据聚合,进行黑客攻击路径溯源。

CheckList检测项1、主机信息获取
2、系统初始化alias检查
3、文件类安全扫描  
3.1、系统重要文件完整行扫描  
3.2、系统可执行文件安全扫描  
3.3、临时目录文件安全扫描  
3.4、用户目录文件扫描  
3.5、可疑隐藏文件扫描
4、各用户历史操作类  
4.1、境外ip操作类  
4.2、反弹shell
5、进程类安全检测  
5.1CUP和内存使用异常进程排查  
5.2、隐藏进程安全扫描  
5.3、反弹shell类进程扫描  
5.4、恶意进程信息安全扫描  
5.5、进程对应可执行文件安全扫描
6、网络类安全检测  
6.1、境外IP链接扫描  
6.3、恶意特征链接扫描
6.4、网卡混杂模式检测7、后门类检测  
7.1LD_PRELOAD后门检测  
7.2LD_AOUT_PRELOAD后门检测  
7.3LD_ELF_PRELOAD后门检测  
7.4LD_LIBRARY_PATH后门检测  
7.5ld.so.preload后门检测  
7.6PROMPT_COMMAND后门检测  
7.7Cron后门检测  
7.8Alias后门  
7.9SSH 后门检测  
7.10SSH wrapper 后门检测  
7.11inetd.conf 后门检测  
7.12xinetd.conf 后门检测  
7.13setUID 后门检测  
7.14、8种系统启动项后门检测
8、账户类安全排查  
8.1root权限账户检测  
8.2、空口令账户检测  
8.3sudoers文件用户权限检测  
8.4、查看各账户下登录公钥  
8.5、账户密码文件权限检测
9、日志类安全分析  
9.1secure登陆日志  
9.2wtmp登陆日志  
9.3utmp登陆日志  
9.4lastlog登陆日志
100、安全配置类分析  
10.1DNS配置检测  
10.2Iptables防火墙配置检测  
10.3hosts配置检测11、Rootkit分析  
11.1、检查已知rootkit文件类特征  
11.2、检查已知rootkit LKM类特征  
11.3、检查已知恶意软件类特征检测
12.WebShell类文件扫描  
12.1WebShell类文件扫描
程序特点

1、程序检测的逻辑和方法,均是由一线安全应急人员根据多年实战经验总结出来的。
2、程序包括10W+的恶意特征信息,用于恶意文件的比对和查杀。
3、结果自动化分析,进行黑客攻击溯源


文章关键词
应急响应
发表评论