Linux 服务器安全应急

2024-07-04 323 0

前言

将服务器安全应急响应过程自动化,以提高安全应急响应的效率和保障基础水准,将安全应急场景中经常使用的命令封装成功能完备的脚本,自动化执行,并规范格式输出。

安全应急自动化方案

根据当前企业自身现状,

  1. 可由一个可发布脚本到全服的工具(eg. ansible)发布到服务器;

  2. 在安全应急时,可调度任意服务器上的该检测脚本进行执行;

  3. 脚本执行完成之后,会自动调度消息/文件发送到企业微信通知;(auto 模式, 3分钟之内即可收到消息通知)

参考&说明

经过前人不断地努力,出现了很多不错的开源工具/脚本,致敬!

此工具的编写主要参考了以下几款工具及个人工作经验总结而成,特别是 al0ne/LinuxCheck

https://github.com/al0ne/LinuxCheck 
https://github.com/grayddq/GScan
https://github.com/CISOfy/lynis
https://www.chkrootkit.org/

Tips. lynis& chkrootkit作为独立工具,可单独使用。

脚本说明

  1. 采用系统原生的命令,减少外部依赖;

  2. 输出上做了很多的简化,展现形式个人认为也有很大的提升;ai helps

  3. 以往脚本有较多的信息采集,涉及大量的文件查找,磁盘 I/O 比较慢,对于安全应急并不适合;因此,做了简化 & 拆分 auto/depth;

  4. 应急响应报告发送企微通知;

Tips:脚本支持 Centos | Debian,主要是在 Ubuntu上进行测试。

Helper

脚本使用方法,一般使用 -a/--auto 参数即可。

Linux 服务器安全应急插图

功能

完整检测功能请使用 -d/--depth 使用,运行较慢,以下是所有功能列表。

Category Item
基础信息采集 『系统信息』
『CPU使用率』
『内存使用』
『磁盘空间使用情况』
『硬盘挂载』
『系统常见软件安装』
进程/软件检查 『CPU占用 Top10』
『内存占用 Top10』
『木马/挖矿检查』
网络/流量检查 『网卡信息』
『网卡混杂模式』
『路由转发』
『对外开放高危通用服务』
『DNS 配置』
『路由表』
『TCP连接状态统计计数』
任务计划检查 『user crontasks』
『Crontab Backdoor』
『/etc/cron.*』
环境变量检查 『env』
『PATH』
用户信息检查 『可登陆用户』
『/etc/passwd 文件修改日期』
『Root权限(非root)账号』
『sudoers(请注意NOPASSWD)』
『登录信息 - w』
『登录信息 - lastlog/filter never logged in』
『登录记录 - 计数』
『登录记录 - last』
服务状态检查 『正在运行的Service』
『multi-user.target 运行级别服务』
『用户自定义 Systemd 服务单元』
Bash 配置检查 『History 文件』
『History 危险命令』
『bash反弹shell』
文件检查 『系统文件修改时间』
『alias 检查』
『SUID』
『lsof -L1/进程存在但文件已经没有了』
『近七天文件改动 mtime』
『近七天文件改动 ctime』
『大文件>200MB』
『敏感文件』
『可疑黑客文件』
『...隐藏文件』
Rootkit检查 『lsmod 可疑模块』
『Rootkit 内核模块』
『可疑的.ko模块』
SSH检查 『SSH 监听 & 链接』
『SSH爆破 IPs Top10』
『SSHD:/usr/sbin/sshd 配置文件权限 A/M/C Time』
『SSH 后门配置』
『SSH 软连接后门』
『SSH inetd后门检查』
『SSH Key』
Webshell检查 『PHP webshell查杀』
『JSP webshell查杀』
供应链投毒检测 『Python2 pip 检测』
『Python3 pip 检测』
挖矿检测 『常规挖矿进程检测』
『Ntpclient 挖矿木马检测』
『WorkMiner 挖矿木马检测』

Note.以上表格由 GPT 为您生成。

Sample

在 GPT 的帮助下,脚本的输出展示有了极大的提升,仅举示例。

# bash linux_sec_check.sh

Linux 服务器安全应急插图1

Linux 服务器安全应急插图2

后续改进方向

  1. 检测功能点,可持续补充;

    1. 包括是否集成 chkrootkit/lynis,独立工具,可自行决断;

  2. 输出格式也可进一步优化,可自定义;

  3. -d/--depth 参数功能,可默认使用、可自定义;

  4. 脚本永远可以不断修改,欢迎贡献您的想法和建议,欢迎提 PR 和 Issue.;

Github 源码

具体脚本,请移步 github。

https://github.com/neverthinkaboutit/linux_sec_check_ai_helper

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

办事处网络安全监控与事件响应;国外员工终端安全性怎么保障 | FB甲方群话题讨论
拿不下总统之位,那就用热加载拿下验证码识别与爆破好了!
Sooty:一款SoC分析一体化与自动化CLI工具
shiro CVE-2016-6802 路径绕过(越权)
Apache Solr 身份验证绕过漏洞(CVE-2024-45216)详解
llama_index的CVE-2024-4181漏洞根因分析

发布评论