Linux系统 应急响应自动化检测工具 GScan ——使用教程
原创
©著作权归作者所有:来自51CTO博客作者W小哥1的原创作品,请联系作者获取转载授权,否则将追究法律责任
项目地址: https://github.com/grayddq/GScan
一、GScan简单介绍
GScan 旨在为安全应急响应人员对 Linux 系统排查时提供便利,实现主机侧 Checklist(检查表) 的自动全面化检测,根据检测结果自动数据聚合,进行黑客攻击路径溯源。
二、GScan检查项
自动化程序的CheckList项如下:
1、主机信息获取
2、系统初始化alias检查
3、文件类安全扫描
3.1、系统重要文件完整行扫描
3.2、系统可执行文件安全扫描
3.3、临时目录文件安全扫描
3.4、用户目录文件扫描
3.5、可疑隐藏文件扫描
4、各用户历史操作类
4.1、境外ip操作类
4.2、反弹shell类
5、进程类安全检测
5.1、CUP和内存使用异常进程排查
5.2、隐藏进程安全扫描
5.3、反弹shell类进程扫描
5.4、恶意进程信息安全扫描
5.5、进程对应可执行文件安全扫描
6、网络类安全检测
6.1、境外IP链接扫描
6.2、恶意特征链接扫描
6.3、网卡混杂模式检测
7、后门类检测
7.1、LD_PRELOAD后门检测
7.2、LD_AOUT_PRELOAD后门检测
7.3、LD_ELF_PRELOAD后门检测
7.4、LD_LIBRARY_PATH后门检测
7.5、ld.so.preload后门检测
7.6、PROMPT_COMMAND后门检测
7.7、Cron后门检测
7.8、Alias后门
7.9、SSH 后门检测
7.10、SSH wrapper 后门检测
7.11、inetd.conf 后门检测
7.12、xinetd.conf 后门检测
7.13、setUID 后门检测
7.14、8种系统启动项后门检测
8、账户类安全排查
8.1、root权限账户检测
8.2、空口令账户检测
8.3、sudoers文件用户权限检测
8.4、查看各账户下登录公钥
8.5、账户密码文件权限检测
9、日志类安全分析
9.1、secure登陆日志
9.2、wtmp登陆日志
9.3、utmp登陆日志
9.4、lastlog登陆日志
10、安全配置类分析
10.1、DNS配置检测
10.2、Iptables防火墙配置检测
10.3、hosts配置检测
11、Rootkit分析
11.1、检查已知rootkit文件类特征
11.2、检查已知rootkit LKM类特征
11.3、检查已知恶意软件类特征检测
12、WebShell类文件扫描
12.1、WebShell类文件扫描
三、GScan测试环境
系统: CentOS (6、7) + python (2.x、3.x)
权限: root权限启动
执行时间: 默认安全扫描大概执行时间为4~6分钟,完全扫描在1~2小时之间,程序执行时间的长度由检测文件的多少决定,有可能会存在较长的时间,请耐心等待
兼容性: 目前程序只针对Centos进行开发测试,其他系统并未做兼容性,检测结果未知
四、GScan 使用示例
背景: centos服务器系统被入侵,并且植入了crontab隐藏后门与webshell
4.1 GScan 部署
GScan 下载
Centos 系统使用 git 下载 GScan 文件,提示:“bash: git: 未找到命令…”
解决方法:
接下来再一次下载 GScan
git clone https://github.com/grayddq/GScan.git
查看Gscan 的使用帮助
4.2 GScan 使用默认安全扫描
执行完之后,会生成 /GScan/log/gscan.log 文件,详细记录分析结果,例如:被植入的shell、修改的文件、可能被攻击的位置
查看 gscan.log 文件,可以看到自动化检测的结果
1、被修改的文件
2、存在的弱点位置,可能被攻击的位置
3、网站被植入的后门、以及反弹shell的时间
4.3 GScan 使用完全扫描
完全扫描在1~2小时之间,时间较长
之后查看log文件即可
更多资源:
1、web安全工具、渗透测试工具
2、存在漏洞的网站源码与代码审计+漏洞复现教程、
3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频
4、应急响应真实案例复现靶场与应急响应教程
