投稿
  1. 极安网首页
  2. 网络安全工具

Linux应急响应检测脚本(挖矿/病毒检测)

作者:Admin 发布: 栏目:网络安全工具

挖矿病毒检测脚本

  1. #!/bin/bash
  2. echo "Linux安全检查与应急响应工具"
  3. echo "Version:1.3"
  4. echo "Author:Daily"
  5. echo "Date:2020-11-11"
  7. dos2unix buying.sh
  8. date=$(date +%Y%m%d-%H%M%S)
  10. ipadd=$(ifconfig -a | grep -w inet | grep -v 127.0.0.1 | awk 'NR==1{print $2}')
  12. check_file="/tmp/buying_${ipadd}_${date}/check_file/"
  13. danger_file="/tmp/buying_${ipadd}_${date}/danger_file.txt"
  14. log_file="/tmp/buying_${ipadd}_${date}/log/"
  15. rm -rf $check_file
  16. rm -rf $danger_file
  17. rm -rf log_file
  18. mkdir /tmp/buying_${ipadd}_${date}/
  19. echo "检查发现危险项,请注意:" > ${danger_file}
  20. mkdir $check_file
  21. echo "" >> $danger_file
  22. mkdir $log_file
  23. cd $check_file
  25. if [ $(whoami) != "root" ];then
  26.     echo "安全检查必须使用root账号,否则某些项无法检查"
  27.     exit 1
  28. fi
  31. saveresult="tee -a checkresult.txt"
  32. echo "[0.1]正在检查IP地址....." && "$saveresult"
  34. echo -------------0.IP及版本-------------------
  35. echo -------------0.1IP地址-------------------
  36. echo "[0.1]正在检查IP地址....." | $saveresult
  37. ip=$(ifconfig -a | grep -w inet | awk '{print $2}')
  38. if [ -n "$ip" ];then
  39.     (echo "[*]本机IP地址信息:" && echo "$ip")  | $saveresult
  40. else
  41.     echo "[!!!]本机未配置IP地址" | $saveresult
  42. fi
  43. printf "\n" | $saveresult
  47. echo ------------12历史命令--------------------------
  48. echo ------------12.1系统操作历史命令---------------
  49. echo ------------12.1.1系统操作历史命令---------------
  50. echo "[12.1.1]正在检查操作系统历史命令....." | $saveresult
  51. history=$(more /root/.bash_history)
  52. if [ -n "$history" ];then
  53.     (echo "[*]操作系统历史命令如下:" && echo "$history") | $saveresult
  54. else
  55.     echo "[!!!]未发现历史命令,请检查是否记录及已被清除" | $saveresult
  56. fi
  57. printf "\n" | $saveresult
  60. echo ------------2.网络连接---------------------
  61. echo "[2.1]正在检查网络连接情况....." | $saveresult
  62. netstat=$(netstat -anlp | grep ESTABLISHED)
  63. netstatnum=$(netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}')
  64. if [ -n "$netstat" ];then
  65.     (echo "[*]网络连接情况:" && echo "$netstat") | $saveresult
  66.     if [ -n "$netstatnum" ];then
  67.         (echo "[*]各个状态的数量如下:" && echo "$netstatnum") | $saveresult
  68.     fi
  69. else
  70.     echo "[*]未发现网络连接" | $saveresult
  71. fi
  72. printf "\n" | $saveresult
  75. echo ------------20.2CPU分析-----------------
  76. echo ------------20.2.1CPU情况-----------------
  77. echo "[20.2.1]正在检查CPU相关信息....." | $saveresult
  78. (echo "CPU硬件信息如下:" && more /proc/cpuinfo ) | $saveresult
  79. (echo "CPU使用情况如下:" && ps -aux | sort -nr -k 3 | awk  '{print $1,$2,$3,$NF}') | $saveresult
  80. printf "\n" | $saveresult
  81. echo ------------20.2.2占用CPU前5进程-----------------
  82. echo "[20.2.2]正在检查占用CPU前5资源的进程....." | $saveresult
  83. (echo "占用CPU资源前5进程:" && ps -aux | sort -nr -k 3 | head -5)  | $saveresult
  84. printf "\n" | $saveresult
  85. echo ------------20.2.3占用CPU较大进程-----------------
  86. echo "[20.2.3]正在检查占用CPU较大的进程....." | $saveresult
  87. pscpu=$(ps -aux | sort -nr -k 3 | head -5 | awk '{if($3>=20) print $0}')
  88. if [ -n "$pscpu" ];then
  89.     echo "[!!!]以下进程占用的CPU超过20%:" && echo "UID         PID   PPID  C STIME TTY          TIME CMD"
  90.     echo "$pscpu" | tee -a 20.2.3_pscpu.txt | tee -a $danger_file | $saveresult
  91. else
  92.     echo "[*]未发现进程占用资源超过20%" | $saveresult
  93. fi
  94. printf "\n" | $saveresult
  97. echo ------------7.进程分析--------------------
  98. echo ------------7.1系统进程--------------------
  99. echo "[7.1]正在检查进程....." | $saveresult
  100. ps=$(ps -aux)
  101. if [ -n "$ps" ];then
  102.     (echo "[*]系统进程如下:" && echo "$ps") | $saveresult
  103. else
  104.     echo "[*]未发现系统进程" | $saveresult
  105. fi
  106. printf "\n" | $saveresult
  108. echo "[7.2]正在检查守护进程....." | $saveresult
  109. if [ -e /etc/xinetd.d/rsync ];then
  110.     (echo "[*]系统守护进程:" && more /etc/xinetd.d/rsync | grep -v "^#") | $saveresult
  111. else
  112.     echo "[*]未发现守护进程" | $saveresult
  113. fi
  114. printf "\n" | $saveresult
  117. echo ------------9.运行服务----------------------
  118. echo "[9.1]正在检查运行服务....." | $saveresult
  119. services=$(systemctl | grep -E "\.service.*running" | awk -F. '{print $1}')
  120. if [ -n "$services" ];then
  121.     (echo "[*]以下服务正在运行:" && echo "$services") | $saveresult
  122. else
  123.     echo "[!!!]未发现正在运行的服务!" | $saveresult
  124. fi
  125. printf "\n" | $saveresult
  128. echo -------------4.启动项-----------------------
  129. echo -------------4.1 用户自定义启动项-----------------------
  130. echo "[4.1]正在检查用户自定义启动项....." | $saveresult
  131. chkconfig=$(chkconfig --list | grep -E ":on|启用" | awk '{print $1}')
  132. if [ -n "$chkconfig" ];then
  133.     (echo "[*]用户自定义启动项:" && echo "$chkconfig") | $saveresult
  134. else
  135.     echo "[!!!]未发现用户自定义启动项" | $saveresult
  136. fi
  137. printf "\n" | $saveresult
  139. echo -------------4.2 系统自启动项-----------------------
  140. echo "[4.2]正在检查系统自启动项....." | $saveresult
  141. systemchkconfig=$(systemctl list-unit-files | grep enabled | awk '{print $1}')
  142. if [ -n "$systemchkconfig" ];then
  143.     (echo "[*]系统自启动项如下:" && echo "$systemchkconfig")  | $saveresult
  144. else
  145.     echo "[*]未发现系统自启动项" | $saveresult
  146. fi
  147. printf "\n" | $saveresult
  149. echo -------------4.3 危险启动项-----------------------
  150. echo "[4.3]正在检查危险启动项....." | $saveresult
  151. dangerstarup=$(chkconfig --list | grep -E ":on|启用" | awk '{print $1}' | grep -E "\.(sh|per|py)$")
  152. if [ -n "$dangerstarup" ];then
  153.     (echo "[!!!]发现危险启动项:" && echo "$dangerstarup") | tee -a $danger_file | $saveresult
  154. else
  155.     echo "[*]未发现危险启动项" | $saveresult
  156. fi
  157. printf "\n" | $saveresult
  159. echo ------------5.查看定时任务-------------------
  160. echo ------------5.1系统定时任务分析-------------------
  161. echo ------------5.1.1查看系统定时任务-------------------
  162. echo "[5.1.1]正在分析系统定时任务....." | $saveresult
  163. syscrontab=$(more /etc/crontab | grep -v "# run-parts" | grep run-parts)
  164. if [ -n "$syscrontab" ];then
  165.     (echo "[!!!]发现存在系统定时任务:" && more /etc/crontab ) | tee -a $danger_file | $saveresult
  166. else
  167.     echo "[*]未发现系统定时任务" | $saveresult
  168. fi
  169. printf "\n" | $saveresult
  171. if [ $? -eq 0 ]表示上面命令执行成功;执行成功输出的是0;失败非0
  172. #ifconfig  echo $? 返回0,表示执行成功
  173. if [ $? != 0 ]表示上面命令执行失败
  175. echo ------------5.1.2分析系统可疑定时任务-------------------
  176. echo "[5.1.2]正在分析系统可疑任务....." | $saveresult
  177. dangersyscron=$(egrep "((chmod|useradd|groupadd|chattr)|((wget|curl)*\.(sh|pl|py)$))"  /etc/cron* var _wpcom_js = {"webp":"","ajaxurl":"https:\/\/www.secvery.com\/wp-admin\/admin-ajax.php","theme_url":"https:\/\/www.secvery.com\/wp-content\/themes\/secvery","slide_speed":"10000","lightbox":"1","user_card_height":"238","video_height":"482","login_url":"https:\/\/www.secvery.com\/login?modal-type=login","register_url":"https:\/\/www.secvery.com\/register?modal-type=register","TCaptcha":{"appid":"2098616795"},"errors":{"require":"\u4e0d\u80fd\u4e3a\u7a7a","email":"\u8bf7\u8f93\u5165\u6b63\u786e\u7684\u7535\u5b50\u90ae\u7bb1","pls_enter":"\u8bf7\u8f93\u5165","password":"\u5bc6\u7801\u5fc5\u987b\u4e3a6~32\u4e2a\u5b57\u7b26","passcheck":"\u4e24\u6b21\u5bc6\u7801\u8f93\u5165\u4e0d\u4e00\u81f4","phone":"\u8bf7\u8f93\u5165\u6b63\u786e\u7684\u624b\u673a\u53f7\u7801","sms_code":"\u9a8c\u8bc1\u7801\u9519\u8bef","captcha_verify":"\u8bf7\u70b9\u51fb\u6309\u94ae\u8fdb\u884c\u9a8c\u8bc1","captcha_fail":"\u70b9\u51fb\u9a8c\u8bc1\u5931\u8d25\uff0c\u8bf7\u91cd\u8bd5","nonce":"\u968f\u673a\u6570\u6821\u9a8c\u5931\u8d25","req_error":"\u8bf7\u6c42\u5931\u8d25"},"follow_btn":"<\/svg>\u5173\u6ce8","followed_btn":"\u5df2\u5173\u6ce8","user_card":"1"};