linux下一款强大的应急响应工具-whohk
0x01 工具介绍
whohk,linux下一款强大的应急响应工具 在linux下的应急响应往往需要通过繁琐的命令行来查看各个点的情况,有的时候还需要做一些格式处理,这对于linux下命令不是很熟悉的人比较不友好。本工具将linux下应急响应中常用的一些操作给集合了起来,并处理成了较为友好的格式,只需要通过一个参数就能代替繁琐复杂的命令来实现对各个点的检查。
支持主流的Linux,包含centos、redhat、ubuntu、debian、opensuse。
0x02 安装与使用
使用指南
optional arguments:
-h, --help show this help message and exit
-user 用于查看系统可登录账户和空口令账户(无参数)
-history 用于查看所有用户的敏感历史命令(无参数)
-cron 用于查看所有用户的定时任务(无参数)
-ip 用于查看外连ip(无参数)
--pid 1234 用于定位进程物理路径(参数为pid号)
--ssh-fip 用于查看ssh登录失败的ip和次数(无参数)
--ssh-fuser 用于查看ssh登录失败的用户和次数(无参数)
--ssh-sip 用于查看ssh登录成功的ip和次数(无参数)
--ssh-sinfo 用于查看ssh登录成功的用户详情(无参数)
--file-cron 7 用于查看系统各个级别定时任务目录中,n天内被修改的文件(参数为天数)
--file-starup 7 用于查看系统启动项目录中,n天内被修改的文件(参数为天数)
--file-os 7 用于查看系统重要目录中,n天内被修改的文件(参数为天数)
--file-change /www 7 php
用于查看在n天内指定目录中指定后缀的被修改的文件(参数为物理路径、天数、后缀)
--file-perm /www jsp 777
用于查看指定目录下指定后缀指定权限的文件(参数为物理路径、后缀、天数)
--s-backdoor /home 用于检测指定路径下的恶意样本(参数为物理路径)
--s-webshell /var/www
用于检测指定路径下的webshell(参数为物理路径)
下载地址
声明:本站所有文章资源内容,如无特殊说明或标注,均为采集网络资源。如若本站内容侵犯了原著者的合法权益,可联系本站删除。