Linux木马-后门排查(四)

2022年10月24日13:52:48 发表评论 88 views

1.1 GScan介绍

GScan是一款为安全应急响应提供便利的工具,自动化监测系统中常见位置,工具运行环境:CentOS (6、7) + python (2.x、3.x)。

工具会自动分析系统日志以及系统中账户配置存在哪些安全问题并给出初步处理方案,这里工具仅排查系统相关,对中间件等应用服务日志没有进行分析处理。

  • 工具检查项目:

1、主机信息获取

2、系统初始化alias检查

3、文件类安全扫描

3.1、系统重要文件完整行扫描

3.2、系统可执行文件安全扫描

3.3、临时目录文件安全扫描

3.4、用户目录文件扫描

3.5、可疑隐藏文件扫描

4、各用户历史操作类

4.1、境外ip操作类

4.2、反弹shell类

5、进程类安全检测

5.1、CUP和内存使用异常进程排查

5.2、隐藏进程安全扫描

5.3、反弹shell类进程扫描

5.4、恶意进程信息安全扫描

5.5、进程对应可执行文件安全扫描

6、网络类安全检测

6.1、境外IP链接扫描

6.3、恶意特征链接扫描

6.4、网卡混杂模式检测

7、后门类检测

7.1、LD_PRELOAD后门检测

7.2、LD_AOUT_PRELOAD后门检测

7.3、LD_ELF_PRELOAD后门检测

7.4、LD_LIBRARY_PATH后门检测

7.5、ld.so.preload后门检测

7.6、PROMPT_COMMAND后门检测

7.7、Cron后门检测

7.8、Alias后门

7.9、SSH 后门检测

7.10、SSH wrapper 后门检测

7.11、inetd.conf 后门检测

7.12、xinetd.conf 后门检测

7.13、setUID 后门检测

7.14、8种系统启动项后门检测

8、账户类安全排查

8.1、root权限账户检测

8.2、空口令账户检测

8.3、sudoers文件用户权限检测

8.4、查看各账户下登录公钥

8.5、账户密码文件权限检测

9、日志类安全分析

9.1、secure登陆日志

9.2、wtmp登陆日志

9.3、utmp登陆日志

9.4、lastlog登陆日志

10、安全配置类分析

10.1、DNS配置检测

10.2、Iptables防火墙配置检测

10.3、hosts配置检测

11、Rootkit分析

11.1、检查已知rootkit文件类特征

11.2、检查已知rootkit LKM类特征

11.3、检查已知恶意软件类特征检测

12.WebShell类文件扫描

12.1、WebShell类文件扫描

1.2 安装部署GScan

1.2.1 下载GScan

https://github.com/grayddq/GScan

1.2.2 部署GScan

[[email protected] tools]# unzip GScan-master.zip
[[email protected] tools]# mv GScan-master GScan

1.3 使用GScan

1.3.1 查看帮助

[[email protected] tools]# cd GScan/
[[email protected] GScan]# python GScan.py --help
Usage: GScan.py [options]

Options:
  -h, --help     show this help message and exit
  --version      当前程序版本

  Mode:
    GScan running mode options

    --overseas   境外模式,此参数将不进行境外ip的匹配
    --full       完全模式,此参数将启用完全扫描
    --debug      调试模式,进行程序的调试数据输出
    --dif        差异模式,比对上一次的结果,输出差异结果信息。
    --sug        排查建议,用于对异常点的手工排查建议
    --pro        处理方案,根据异常风险生成初步的处理方案

  Optimization:
    Optimization options

    --time=TIME  搜索指定时间内主机改动过的所有文件,demo: --time='2019-05-07
                 00:00:00~2019-05-07 23:00:00'
    --job        添加定时任务,用于定时执行程序(默认每天零点执行一次)
    --hour=HOUR  定时任务,每N小时执行一次
--log        打包当前系统的所有安全日志(暂不支持)

1.3.2 快速检查

[[email protected] GScan]# python GScan.py –pro

Linux木马-后门排查(四)

1.3.3 完全检查

完整检查--full比较耗时间

[[email protected] GScan]# python GScan.py –full

Linux木马-后门排查(四)

weinxin
我的微信
如果有技术上的问题可以扫一扫我的微信
版权声明
1. 本网站名称:Leon的博客
2. 本站永久网址:https://blog.leonshadow.cn
3. 本网站的文章部分内容可能来源于网络,仅供大家学习与参考,如有侵权,请联系站长QQ632113590进行删除处理。
4. 本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。
5. 本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
6. 本站资源大多存储在云盘,如发现链接失效,请联系我们我们会第一时间更新。
liyang