脚本介绍
司稽(Whoamifuck或Chief-Inspector)是一款由shell编写的Linux应急响应脚本,能对基本的检查项进行输出和分析,并支持一些扩展的特色功能,该工具目前实现的功能基本满足了应急响应的基本需求。
项目地址:https://github.com/enomothem/Whoamifuck
脚本功能
系统版本信息
历史命令信息
开启服务信息
进程分析信息
用户信息排查
文件状态信息
计划任务信息
开启端口信息
系统状态监控
分析站点日志
恶意程序查找
支持基线检查
挖矿病毒查杀
常见漏洞自查
后门文件查杀
僵尸进程清理
站点存活探测
开机自启动项
攻击痕迹发现
定时运行任务
软链后门检查
环境变量后门
常见格式报告
高可扩展命令
远程风险专项
查找webshell
信使邮件通知
使用方法
下载
git clone https://github.com/enomothem/Whoamifuck.git cd Whoamifuck chmod +x whoamifuck.sh
使用方法:
-v --version 版本信息 -h --help 帮助指南 QUICK -u --user-device 查看设备基本信息 -l --login [FILEPATH] 用户登录信息 [default:/var/log/secure;/var/log/auth.log] -n --nomal 基本输出模式 -a --all 全量输出模式 SPECIAL -x --proc-serv 检查用户进程与开启服务状态 -p --port 查看端口开放状态 -s --os-status 查看系统状态信息 RISK -b --baseline 基线安全评估 -r --risk 查看系统可能存在的漏洞 -k --rookitcheck 检测系统可能存在的后门 -w --webshell [PATH] 查找可能存在的webshell文件 [default:/var/www/;/www/wwwroot/..] MISC -c --code [URL|FILE] 页面存活探测 -i --sqletlog [FILE] 日志分析-SQL注入专业分析 -e --auto-run [0-23|c] 加入到定时运行计划 -z --ext [PATH] 自定义命令配置测试 [default:~/.whok/chief-inspector.conf] OUTPUT -o --output [FILENAME] 导出全量输出模式文件 -m --html [FILENAME] 导出全量输出模式HTML文件