0x01 工具介绍

whohk,linux下一款强大的应急响应工具 在linux下的应急响应往往需要通过繁琐的命令行来查看各个点的情况,有的时候还需要做一些格式处理,这对于linux下命令不是很熟悉的人比较不友好。本工具将linux下应急响应中常用的一些操作给集合了起来,并处理成了较为友好的格式,只需要通过一个参数就能代替繁琐复杂的命令来实现对各个点的检查。

支持主流的Linux,包含centos、redhat、ubuntu、debian、opensuse。

0x02 安装与使用

使用指南

optional arguments:
  -h, --help            show this help message and exit
  -user                 用于查看系统可登录账户和空口令账户(无参数)
  -history              用于查看所有用户的敏感历史命令(无参数)
  -cron                 用于查看所有用户的定时任务(无参数)
  -ip                   用于查看外连ip(无参数)
  --pid 1234            用于定位进程物理路径(参数为pid号)
  --ssh-fip             用于查看ssh登录失败的ip和次数(无参数)
  --ssh-fuser           用于查看ssh登录失败的用户和次数(无参数)
  --ssh-sip             用于查看ssh登录成功的ip和次数(无参数)
  --ssh-sinfo           用于查看ssh登录成功的用户详情(无参数)
  --file-cron 7         用于查看系统各个级别定时任务目录中,n天内被修改的文件(参数为天数)
  --file-starup 7       用于查看系统启动项目录中,n天内被修改的文件(参数为天数)
  --file-os 7           用于查看系统重要目录中,n天内被修改的文件(参数为天数)
  --file-change /www 7 php
                        用于查看在n天内指定目录中指定后缀的被修改的文件(参数为物理路径、天数、后缀)
  --file-perm /www jsp 777
                        用于查看指定目录下指定后缀指定权限的文件(参数为物理路径、后缀、天数)
  --s-backdoor /home    用于检测指定路径下的恶意样本(参数为物理路径)
  --s-webshell /var/www
                        用于检测指定路径下的webshell(参数为物理路径)

下载地址