网站LOGO
静若安然
页面加载中
11月11日
网站LOGO 静若安然
记录个人学习生活和成长历程
菜单
  • 热评
    用户的头像
    首次访问
    上次留言
    累计留言
    我的等级
    我的角色
    打赏二维码
    打赏博主
    Gscan linux 安全排查
    点击复制本页信息
    微信扫一扫
    文章二维码
    文章图片 文章标题
    创建时间
  • 一 言
    确认删除此评论么? 确认
  • 本弹窗介绍内容来自,本网站不对其中内容负责。

    Gscan linux 安全排查

    Akria · 原创 ·
    Linux 安全 · Linux安全
    共 3873 字 · 约 2 分钟 · 5062
    本文最后更新于2024年02月15日,已经过了269天没有更新,若内容或图片失效,请留言反馈

    自动化Checklist

    自动化程序的CheckList项如下:

    bash 代码:
    1、主机信息获取
    2、系统初始化alias检查
    3、文件类安全扫描
      3.1、系统重要文件完整行扫描
      3.2、系统可执行文件安全扫描
      3.3、临时目录文件安全扫描
      3.4、用户目录文件扫描
      3.5、可疑隐藏文件扫描
    4、各用户历史操作类
      4.1、境外ip操作类
      4.2、反弹shell类
    5、进程类安全检测
      5.1、CUP和内存使用异常进程排查
      5.2、隐藏进程安全扫描
      5.3、反弹shell类进程扫描
      5.4、恶意进程信息安全扫描
      5.5、进程对应可执行文件安全扫描
    6、网络类安全检测
      6.1、境外IP链接扫描
      6.3、恶意特征链接扫描
      6.4、网卡混杂模式检测
    7、后门类检测
      7.1、LD_PRELOAD后门检测
      7.2、LD_AOUT_PRELOAD后门检测
      7.3、LD_ELF_PRELOAD后门检测
      7.4、LD_LIBRARY_PATH后门检测
      7.5、ld.so.preload后门检测
      7.6、PROMPT_COMMAND后门检测
      7.7、Cron后门检测
      7.8、Alias后门
      7.9、SSH 后门检测
      7.10、SSH wrapper 后门检测
      7.11、inetd.conf 后门检测
      7.12、xinetd.conf 后门检测
      7.13、setUID 后门检测
      7.14、8种系统启动项后门检测
    8、账户类安全排查
      8.1、root权限账户检测
      8.2、空口令账户检测
      8.3、sudoers文件用户权限检测
      8.4、查看各账户下登录公钥
      8.5、账户密码文件权限检测
    9、日志类安全分析
      9.1、secure登陆日志
      9.2、wtmp登陆日志
      9.3、utmp登陆日志
      9.4、lastlog登陆日志
    10、安全配置类分析
      10.1、DNS配置检测
      10.2、Iptables防火墙配置检测
      10.3、hosts配置检测
    11、Rootkit分析
      11.1、检查已知rootkit文件类特征
      11.2、检查已知rootkit LKM类特征
      11.3、检查已知恶意软件类特征检测
    12.WebShell类文件扫描
      12.1、WebShell类文件扫描

    执行参数

    bash 代码:
    >     sh-3.2# python GScan.py -h
    >   
    >       _______      _______.  ______      ___      .__   __.
    >      /  _____|    /       | /      |    /   \     |  \ |  |  
    >     |  |  __     |   (----`|  ,----'   /  ^  \    |   \|  |
    >     |  | |_ |     \   \    |  |       /  /_\  \   |  . `  |  
    >     |  |__| | .----)   |   |  `----. /  _____  \  |  |\   |
    >      \______| |_______/     \______|/__/     \__\ |__| \__|  
    >   
    >   
    >     Usage: GScan.py [options]
    >  
    >     Options:
    >  
    >       -h, --help     show this help message and exit
    >       --version      当前程序版本
    >  
    >      Mode:
    >         GScan running mode options
    >    
    >         --overseas   境外模式,此参数将不进行境外ip的匹配
    >         --full       完全模式,此参数将启用完全扫描
    >         --debug      调试模式,进行程序的调试数据输出
    >         --dif        差异模式,比对上一次的结果,输出差异结果信息。
    >         --sug        排查建议,用于对异常点的手工排查建议
    >         --pro        处理方案,根据异常风险生成初步的处理方案
    >    
    >      Optimization:
    >         Optimization options
    >    
    >         --time=TIME  搜索指定时间内主机改动过的所有文件,demo: --time=
    >                      00:00:00~2019-05-07 23:00:00'
    >         --job        添加定时任务,用于定时执行程序
    >         --log        打包当前系统的所有安全日志(暂不支持)

    执行命令

    bash 代码:
    >root# <kbd>python GScan.py</kbd>
    >
    >root# <kbd>python GScan.py --sug --pro</kbd>
    >
    >进行定时任务设置,异常日志将按行输出到./GScan/log/log.log,可通过syslog等服务同步日志信息。
    >
    >root# <kbd>python GScan.py --job</kbd> #每天零点执行一次
    >
    >root# <kbd>python GScan.py --job --hour=2</kbd> #每2小时执行一次

    程序目录

    bash 代码:
    GScan
        ----GScan.py                   #主程序
        ----log                        #日志和结果记录
        ----lib                        #模块库文件
        -------core                    #调用库文件
        ----------common.py            #公共库模块
        ----------globalvar.py         #全局参数管理模块
        ----------option.py            #参数管理模块
        ----------ip                   ##ip地址定位库
        -------egg                     #yara打包动态库
        -------malware                 #恶意特征库
        -------plugins                 #检测插件模块库
        ----------Host_Info.py         #主机信息获取
        ----------File_Analysis.py     #文件类安全检测
        ----------History_Analysis.py  #用户历史操作类
        ----------Proc_Analysis.py     #进程类安全检测
        ----------Network_Analysis.py  #网络类安全检测
        ----------Backdoor_Analysis.py #后门类检测
        ----------User_Analysis.py     #账户类安全排查
        ----------Log_Analysis.py      #日志类安全分析
        ----------Config_Analysis.py   #安全配置类分析
        ----------Rootkit_Analysis.py  #Rootkit分析
        ----------SSHAnalysis.py       #secure日志分析
        ----------Webserver.py         #获取当前web服务的web根目录
        ----------Webshell_Analysis.py #webshell检测
        ----------webshell_rule        #webshell检测的规则

    输出目录

    日志及结果目录默认:./GScan/log/gscan.log


    声明:本文由 Akria(博主)原创,依据 CC-BY-NC-SA 4.0 许可协议 授权,转载请注明出处。

    还没有人喜爱这篇文章呢

    现在已有

    1

    条评论
    我要发表评论
    1. 头像
      xhvugsqcba
      头像 xhvugsqcba
      • 等级:Lv.1
      • 角色:访客
      • 在线:本月

      你的文章充满了智慧,让人敬佩。

      · · · 海外
    博客logo 静若安然 记录个人学习生活和成长历程 51统计 百度统计
    ICP 蜀ICP备2023037012号-1

    💻️ Akria 昨天 17:15 在线

    🕛

    本站已运行 7 年 77 天 18 小时 22 分
    静若安然. © 2017 ~ 2024.
    网站logo

    静若安然 记录个人学习生活和成长历程