Linux应急响应Gscan使用

该工具检查项目如下:

1、主机信息获取
2、系统初始化alias检查
3、文件类安全扫描3.1、系统重要文件完整行扫描3.2、系统可执行文件安全扫描3.3、临时目录文件安全扫描3.4、用户目录文件扫描3.5、可疑隐藏文件扫描
4、各用户历史操作类4.1、境外ip操作类4.2、反弹shell类
5、进程类安全检测5.1、CUP和内存使用异常进程排查5.2、隐藏进程安全扫描5.3、反弹shell类进程扫描5.4、恶意进程信息安全扫描5.5、进程对应可执行文件安全扫描
6、网络类安全检测6.1、境外IP链接扫描6.3、恶意特征链接扫描6.4、网卡混杂模式检测
7、后门类检测7.1、LD_PRELOAD后门检测7.2、LD_AOUT_PRELOAD后门检测7.3、LD_ELF_PRELOAD后门检测7.4、LD_LIBRARY_PATH后门检测7.5、ld.so.preload后门检测7.6、PROMPT_COMMAND后门检测7.7、Cron后门检测7.8、Alias后门7.9、SSH 后门检测7.10、SSH wrapper 后门检测7.11、inetd.conf 后门检测7.12、xinetd.conf 后门检测7.13、setUID 后门检测7.14、8种系统启动项后门检测
8、账户类安全排查8.1、root权限账户检测8.2、空口令账户检测8.3、sudoers文件用户权限检测8.4、查看各账户下登录公钥8.5、账户密码文件权限检测
9、日志类安全分析9.1、secure登陆日志9.2、wtmp登陆日志9.3、utmp登陆日志9.4、lastlog登陆日志
10、安全配置类分析10.1、DNS配置检测10.2、Iptables防火墙配置检测10.3、hosts配置检测
11、Rootkit分析11.1、检查已知rootkit文件类特征11.2、检查已知rootkit LKM类特征11.3、检查已知恶意软件类特征检测
12.WebShell类文件扫描12.1、WebShell类文件扫描

该工具支持功能如下:

sh-3.2# python GScan.py -h_______      _______.  ______      ___      .__   __./  _____|    /       | /      |    /   \     |  \ |  |    {version:v0.1}
|  |  __     |   (----`|  ,----'   /  ^  \    |   \|  |
|  | |_ |     \   \    |  |       /  /_\  \   |  . `  |    {author:咚咚呛}
|  |__| | .----)   |   |  `----. /  _____  \  |  |\   |\______| |_______/     \______|/__/     \__\ |__| \__|    http://grayddq.topUsage: GScan.py [options]Options:-h, --help     show this help message and exit--version      当前程序版本Mode:GScan running mode options--overseas   境外模式,此参数将不进行境外ip的匹配--full       完全模式,此参数将启用完全扫描--debug      调试模式,进行程序的调试数据输出--dif        差异模式,比对上一次的结果,输出差异结果信息。--sug        排查建议,用于对异常点的手工排查建议--pro        处理方案,根据异常风险生成初步的处理方案Optimization:Optimization options--time=TIME  搜索指定时间内主机改动过的所有文件,demo: --time='2019-05-0700:00:00~2019-05-07 23:00:00'--job        添加定时任务,用于定时执行程序--log        打包当前系统的所有安全日志(暂不支持)

实战

1.扫描

sudo python GScan.py
根据系统分析的情况,溯源后的攻击行动轨迹为:
[1][风险] 黑客在2021-10-10 13:59:33时间,进行了setuid 后门植入,文件/usr/bin/ntfs-3g 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限
[2][风险] 黑客在2022-02-14 08:15:03时间,进行了setuid 后门植入,文件/usr/bin/kismet_cap_ti_cc_2531 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限
[3][风险] 黑客在2022-02-14 08:15:03时间,进行了setuid 后门植入,文件/usr/bin/kismet_cap_ubertooth_one 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限
[4][风险] 黑客在2022-02-14 08:15:03时间,进行了setuid 后门植入,文件/usr/bin/kismet_cap_linux_bluetooth 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限
[5][风险] 黑客在2022-02-14 08:15:03时间,进行了setuid 后门植入,文件/usr/bin/kismet_cap_nrf_mousejack 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限
[6][风险] 黑客在2022-02-14 08:15:03时间,进行了setuid 后门植入,文件/usr/bin/kismet_cap_nxp_kw41z 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限
[7][风险] 黑客在2022-02-14 08:15:03时间,进行了setuid 后门植入,文件/usr/bin/kismet_cap_rz_killerbee 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限
[8][风险] 黑客在2022-02-14 08:15:03时间,进行了setuid 后门植入,文件/usr/bin/kismet_cap_linux_wifi 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限
[9][风险] 黑客在2022-02-14 08:15:03时间,进行了setuid 后门植入,文件/usr/bin/kismet_cap_nrf_51822 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限
[10][风险] 黑客在2022-02-14 08:15:03时间,进行了setuid 后门植入,文件/usr/bin/kismet_cap_ti_cc_2540 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限
[11][风险] 黑客在2022-02-14 08:15:03时间,进行了setuid 后门植入,文件/usr/bin/kismet_cap_nrf_52840 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限
[12][风险] 黑客在2022-03-10 01:26:32时间,进行了setuid 后门植入,文件/usr/lib/mysql/plugin/auth_pam_tool_dir/auth_pam_tool 被设置setuid属性,通常此类被设置权限的文件执行后会给予普通用户root权限
[13][可疑] 黑客在2022-07-09 21:44:19时间,进行了账户修改设置,shadow文件权限变更,不为----------------------------------------
扫描完毕,扫描结果已记入到 /home/test/Desktop/GScan-master/log/gscan.log 文件中,请及时查看

可以看到,我们扫描出了威胁项目,针对处理即可

本文链接:https://my.lmcjl.com/post/12802.html

展开阅读全文

4 评论

留下您的评论.