https://github.com/Ashro-one/Ashro_linux

Linux通用应急响应脚本，适用大多数情况。不如手敲
https://github.com/Ashro-one/Ashro_linux

Last synced: 3 months ago
JSON representation

Linux通用应急响应脚本，适用大多数情况。不如手敲

• Host: GitHub
• URL: https://github.com/Ashro-one/Ashro_linux
• Owner: Ashro-one
• Created: 2023-04-04T06:35:51.000Z (about 2 years ago)
• Default Branch: main
• Last Pushed: 2024-12-17T09:55:13.000Z (5 months ago)
• Last Synced: 2024-12-17T10:22:34.388Z (5 months ago)
• Language: Shell
• Homepage:
• Size: 66.4 KB
• Stars: 286
• Watchers: 4
• Forks: 31
• Open Issues: 0
• Metadata Files:
  • Readme: README.md

Awesome Lists containing this project

• awesome-hacking-lists - Ashro-one/Ashro_linux - Linux通用应急响应脚本，适用大多数情况。不如手敲 (Shell)

README

        

个人感觉，手敲还是挺好的



感谢 https://www.yuque.com/beicheni/  北辰老板的资料分享

Linux通用应急响应脚本，适用大多数情况

目前在ubuntu、centos7、kali上均可以正常运行。其他未实验 可以提供报错，针对修改。

脚本执行后生成的文件解释：

danger_file.txt  脚本执行后的高危结果，对付看，结果需要经验分析，不要一股脑就认为风险项。



check_file文件夹--检查命令篡改

weibu_md5.py 通过脚本获取系统上的命令配置文件的MD5值到check_file/*.csv文件中，进行微步的威胁情报查询，需要配置脚本中的自己api。脚本执行后会在当前目录生成结果文件。是否命令篡改结果一目了然。



webshell文件夹--检查可执行文件后门

执行脚本后会将当前系统中正在进行的进程其涉及到的可执行文件cp下来。dump下来沙箱检测即可。

log文件夹--会将/var/log/*文件夹内容打包成压缩包

Ashro_checkresult.txt   结尾的是脚本执行过程日志，这个比较友好可以从这里分析



详细功能介绍:


1.必须root权限运行


2.收集IP地址信息


3.查看正在登录的用户


4.查看/etc/passwd


5.检查是否存在超级用户


6.空口令账户检测


7.新增用户检查


8.新增用户组检查


9.检测sudoers文件中的用户权限


10.使用 visudo 命令查找具有 NOPASSWD 权限的用户


11.检查各账户下是否存在ssh登录公钥


12.账户密码文件权限检测


13.暴力破解攻击检测


14.查询正在监听的端口


15.检查建立的网络连接


16.检查是否存在系统进程


17.检测存在那些守护进程


18.CPU和内存使用率最高的进程排查（超过20%）


19.检查是否存在隐藏进程


20.检查反弹shell类进程


21.将进程对应的可执行文件保存到指定目录--webshell--沙箱检测


22.系统命令hash值打包---威胁情报MD5对比


23.检查正在运行的服务


24.检查系统文件的权限变更（一周内）


25.收集历史命令


26.用户自定义启动项排查


27.系统自启动项排查


28.危险启动项排查


29.系统定时任务分析


30.用户定时任务分析


31.检查最近24小时内有改变的文件（误报会很多）


32.cpu情况分析（占用前5）


33.日志分析


34.日志审核是否开启


35.打包日志（/var/log/*）全打包


36.secure日志分析（登录成功。登录失败，新增用户组）


37.message日志分析（传输文件情况）


38.cron日志分析（定时下载、定时执行）


39.btmp日志分析（错误登录日志）


40.lastlog日志分析（最后一次登录日志）


41.wtmp日志分析(历史登录本机用户)


42.Alias 后门检测


43.SSH 后门检测


44.SSH Wrapper 后门检测


45.检查 SSH 授权密钥文件是否包含可疑命令


46.检查特定目录中是否存在可疑文件


47.检查系统日志中是否包含可疑内容


48.防火墙配置检测


windows应急响应工具地


https://github.com/FindAllTeam/FindAll/

感谢 theLSA 老哥提到的debian系统出现的定时任务出现找不到文件情况。目前已解决    2024.06.24

补充一个应急小tip


当漏扫工具被截留到服务器上时候，还定位不到攻击者遗留的工具时，


例如ips上出现横向攻击10.16.5.134 时，可以执行如下命令。 他会查找全系统文件内容中的可能存在漏洞结果的文件位置。


find / -type f -exec grep -l "10.16.5.134" {} \\; 


![image](https://github.com/user-attachments/assets/6178f2c8-6853-4636-b3e8-7731b03aec26)