#!/bin/bash
#function: rootkit 检测报告
#author:zhanglejie
#date:2014/6/30
#
#检查路径
if [ ! -d /tmp/NSF0CUS_ER_REPORT ]
then
mkdir -p /tmp/NSF0CUS_ER_REPORT
fi
if [ ! -d /tmp/NSF0CUS_ER_REPORT/logs ]
then
mkdir /tmp/NSF0CUS_ER_REPORT/logs
fi
#最终报告文件
report=/tmp/NSF0CUS_ER_REPORT/NSF0CUS_RH_CHKER_`date +%Y%m%d`.log
#分隔符
sp="++++++++++++++++++++++"
#下载、安装 rkhunter
if [ ! -f /usr/local/bin/rkhunter ]
then
cd /tmp
wget -q http://jaist.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz
if [ -f rkhunter-1.4.2.tar.gz ]
then
tar -zxf rkhunter-1.4.2.tar.gz
cd rkhunter-1.4.2
./installer.sh --install
fi
fi
#passwd文件权限和内容
echo $sp "passwd文件权限和内容" $sp > $report
ls -l /etc/passwd >> $report
cat /etc/passwd >> $report
#shadow文件权限和内容
echo $sp "shadow文件权限和内容" $sp >> $report
ls -l /etc/shadow >> $report
cat /etc/shadow >> $report
#所有用户的UID值
echo $sp "所有用户的UID值" $sp >> $report
echo "UID:UserName" >> $report
awk -F ":" '{print $3":"$1}' /etc/passwd|sort -n >> $report
#用户在线(登录)信息
echo $sp "在线用户信息" $sp >> $report
w >> $report
#进程列表
echo $sp "进程和端口" $sp >> $report
lsof -i -n -P >> $report
#网络连接信息
echo $sp "网络连接信息" $sp >> $report
netstat -nutpla >> $report
#服务列表
echo $sp "服务列表" $sp >> $report
chkconfig --list >> $report
#所有用户.bash_history内容
echo $sp "所有的.bash_history内容" $sp >> $report
find / -name \.bash_history -exec cat {} + >> $report
#rootkit hunter 的检测结果
/usr/local/bin/rkhunter -q --check --sk
echo $sp "rootkit hunter 的检测结果" $sp >> $report
cat /var/log/rkhunter.log|grep -v "Not found"|grep -v "None found" |grep '\[ .* \]'|awk -F "]" '{print $2"]"}' >> $report
#last 的输出信息
echo $sp "last 的输出信息" $sp >> $report
last >> $report
#运行结束提示
echo "已经生成报告" $report
rootkit 检测报告
原创lejie851112 博主文章分类:shell ©著作权
©著作权归作者所有:来自51CTO博客作者lejie851112的原创作品,请联系作者获取转载授权,否则将追究法律责任
上一篇:批量格分区并格式化
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
rootkit后门检测工具rootkit和RKHunter
后门检测工具,rootkit,RKHunter,linux安全工具
rootkit RKHunter 后门检测工具 linux安全工具