-
Notifications
You must be signed in to change notification settings - Fork 24
/
whoamifuck.sh
2384 lines (2177 loc) · 99.9 KB
/
whoamifuck.sh
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
735
736
737
738
739
740
741
742
743
744
745
746
747
748
749
750
751
752
753
754
755
756
757
758
759
760
761
762
763
764
765
766
767
768
769
770
771
772
773
774
775
776
777
778
779
780
781
782
783
784
785
786
787
788
789
790
791
792
793
794
795
796
797
798
799
800
801
802
803
804
805
806
807
808
809
810
811
812
813
814
815
816
817
818
819
820
821
822
823
824
825
826
827
828
829
830
831
832
833
834
835
836
837
838
839
840
841
842
843
844
845
846
847
848
849
850
851
852
853
854
855
856
857
858
859
860
861
862
863
864
865
866
867
868
869
870
871
872
873
874
875
876
877
878
879
880
881
882
883
884
885
886
887
888
889
890
891
892
893
894
895
896
897
898
899
900
901
902
903
904
905
906
907
908
909
910
911
912
913
914
915
916
917
918
919
920
921
922
923
924
925
926
927
928
929
930
931
932
933
934
935
936
937
938
939
940
941
942
943
944
945
946
947
948
949
950
951
952
953
954
955
956
957
958
959
960
961
962
963
964
965
966
967
968
969
970
971
972
973
974
975
976
977
978
979
980
981
982
983
984
985
986
987
988
989
990
991
992
993
994
995
996
997
998
999
1000
#!/bin/bash
# Linux入侵检测报告工具-Whoamifuck[司稽]
# Author: Enomothem
# Time: 2021年2月8日
# --------------------------------------
# | Update log |
# --------------------------------------
# |—— Update: 2021年02月08日 Whoamifuck v1.0 检测用户入侵信息
# |—— Update: 2021年02月08日 Whoamifuck v2.0 优化格式
# |—— Update: 2021年06月03日 优化格式,加入用户基本信息
# |—— Update: 2021年06月06日 >> 发布3.0版本
# |—— Update: 2022年06月03日 增加新功能,加入应急响应基础功能,如查看用户、服务、文件修改、历史命令等等。
# |—— Update: 2022年06月06日 >> 发布4.0版本
# |—— Update: 2023年06月03日 增加新功能,加入开放端口、优化服务器状态、查看僵尸进程、优化用户状态等。
# |—— Update: 2023年06月06日 >> 发布5.0版本
# |—— Update: 2023年08月14日 发布5.0.1版本,新增 『导出功能』 、优化 『用户登录日志』 、修复 『显示端口不存在用户导致错误』
# | |__ 增加 『全量输出』 、优化 『标题栏』 代码
# |—— Update: 2023年08月16日 发布5.0.2版本,优化 『用户基本信息』 、修复 『某些环境DNS显示异常』 、 加速 『模块化』
# | |__ 增加 『secure文件可选』 、增加 『颜色定义区』
# |—— Update: 2023年09月05日 发布5.1.0,优化用户登录日志代码逻辑。进一步完善debian正则。
# | |__ 增加 『auth.log文件可选』 、增加 『虚拟机判断』
# |—— Update: 2023年09月15日 发布5.1.19,优化 『虚拟机判断的兼容能力』@Gu0st
# |—— Update: 2023年09月15日 发布5.2.0,优化 修复对虚拟判断的bug
# |—— Update: 2023年10月12日 发布5.2.1,增加对root用户的判断,修复一些小bug
# |—— Update: 2023年12月05日 发布5.3.0,修复 『导出bug』、新增 『webshell查杀』、新增 『漏洞检查』 100Star啦 ^.^
# |—— Update: 2023年12月07日 发布5.3.1,修复 『多网卡bug』、修复 『没有gawk命令显示异常』@Agreement
# |—— Update: 2023年12月08日 发布5.3.2,新增 『webshell jsp免杀规则』、优化 『代码缩进』、新增 『Redis漏洞检测』、优化 『程序执行速度』
# |—— Update: 2023年12月13日 发布5.4.0,新增 『基线检查』、优化 『help』、修复 『bar显示问题』、优化 『输出结果更加合理』
# | |__ 修复『sudoer文件不存在显示问题』@lockly
# |—— Update: 2024年02月05日 发布5.4.1-alpha,新增 『web探测』、新增 『终端代理』
# |—— Update: 2024年04月12日 发布5.5.1-alpha, 新增『html格式输出』
# |—— Update: 2024年04月16日 发布5.5.2-alpha, 优化『html格式输出,增加全文检索,增加金属质感按钮缩放详细信息显示,增加高亮高危风险命令或字段』
# |—— Update: 2024年04月17日 发布5.5.3-alpha, 优化『html格式输出,优化使用体验,增加计数器』
# |—— Update: 2024年04月18日 发布5.5.4-alpha, 新增『html风险排查,风险将持续更新』
# |—— Update: 2024年04月18日 发布5.6.0-RC, 新增『SQL注入专业分析』 额,这个嘛,做CTF题也是非常nice
# |—— Update: 2024年05月11日 发布5.6.1-alpha,修复『html被转义而打乱格式的问题』@dajjboom
# |—— Update: 2024年05月27日 发布5.7.0-alpha,新增『rookit查杀』,新增『定时启动脚本』
# |—— Update: 2024年05月28日 发布5.7.1-alpha,优化『文本导出格式』,优化『状态模块化』
# |—— Update: 2024年05月29日 发布5.7.2-alpha,优化『用户登录模块』,新增『SSH软链接排查』
# |—— Update: 2024年06月02日 发布5.8.0-alpha,新增『SSH后门排查』,优化『Html输出格式问题』,优化『Html计划任务排查项』
# |—— Update: 2024年06月03日 >> 发布6.0版本
# |—— Update: 2024年06月06日 增加新功能,针对后门类进行更新、加入自动化任务自动发现威胁并查杀,持续防护,和其他优化。
# | |_ 优化『内核虚机判断』@Gu0st、新增『Html系统日志』@Gu0st、新增『环境变量后门』、优化『历史命令和计划任务遍历』
# | |_ 修复『导致html乱码』、优化『Html样式』、修复『Html一些错误』
# --------------------------------------
# | Whoamifuck |
# --------------------------------------
# [ ++ 基本信息 ++ ]
VER="2024.6.6@whoamifuck-version 6.0.0"
WHOAMIFUCK=`whoami`
# [ ++ 默认路径 ++ ]
OUTPUT="output" # Default Output
AUTHLOG_FILE="/var/log/auth.log" # Ubuntu Path
SECURE_FILE="/var/log/secure" # RedHat Path
# --------------------------------------
# | Function |
# --------------------------------------
# [ ++ Function COLOR ++ ]
function color
{
# 定义颜色和样式变量
reset="\033[0m"
bold="\033[1m"
underline="\033[4m"
inverse="\033[7m"
# 定义前景色变量
redx="\e[1;31m"
black="\033[30m"
red="\033[1;31m"
green="\033[32m"
yellow="\033[33m"
blue="\033[1;34m"
purple="\033[35m"
cyan="\033[36m"
white="\033[1;37m"
# 定义背景色变量
bg_black="\033[40m"
bg_red="\033[41m"
bg_green="\033[42m"
bg_yellow="\033[43m"
bg_blue="\033[44m"
bg_purple="\033[45m"
bg_cyan="\033[46m"
bg_white="\033[47m"
}
# [ ++ Function LOGO ++ ]
function logo
{
color
echo
echo
printf "${red} ██╗ ██╗██╗ ██╗ ██████╗ █████╗ ███╗ ███╗██╗ ███████╗██╗ ██╗ ██████╗██╗ ██╗ ${reset}\n"
printf "${red} ██║ ██║██║ ██║██╔═══██╗██╔══██╗████╗ ████║██║ ██╔════╝██║ ██║██╔════╝██║ ██╔╝ ${reset}\n"
printf "${red} ██║ █╗ ██║███████║██║ ██║███████║██╔████╔██║██║ █████╗ ██║ ██║██║ █████╔╝ ${reset}\n"
printf "${red} ██║███╗██║██╔══██║██║ ██║██╔══██║██║╚██╔╝██║██║ ██╔══╝ ██║ ██║██║ ██╔═██╗ ${reset}\n"
printf "${red} ╚███╔███╔╝██║ ██║╚██████╔╝██║ ██║██║ ╚═╝ ██║██║ ██║ ╚██████╔╝╚██████╗██║ ██╗ ${reset}\n"
printf "${red} ╚══╝╚══╝ ╚═╝ ╚═╝ ╚═════╝ ╚═╝ ╚═╝╚═╝ ╚═╝╚═╝ ╚═╝ ╚═════╝ ╚═════╝╚═╝ ╚═╝ ${reset}\n"
printf " ${VER} by ${blue}Enomothem${reset}\n"
}
# [ ++ Function HELP_CN ++ ]
function help_cn
{
printf "usage: \n\n"
printf "\t -v --version\t\t\t版本信息\n "
printf "\t -h --help\t\t\t帮助指南\n"
printf "\t -l --login [FILEPATH]\t\t用户登录信息\n"
printf "\t -n --nomal\t\t\t基本输出模式\n"
printf "\t -a --all\t\t\t全量输出模式\n"
printf "\t -u --user-device\t\t查看设备基本信息\n"
printf "\t -x --process-and-servic\t检查用户进程与开启服务状态\n"
printf "\t -p --port\t\t\t查看端口开放状态\n"
printf "\t -s --os-status\t\t\t查看系统状态信息\n"
printf "\t -w --webshell [PATH]\t\t查找可能存在的webshell文件\n"
printf "\t -r --risk\t\t\t查看系统可能存在的漏洞\n"
printf "\t -k --rookitcheck\t\t检测系统可能存在的后门\n"
printf "\t -b --baseline\t\t\t基线安全评估\n"
printf "\t -c --httpstatuscode [URL|FILE]\t页面存活探测\n"
printf "\t -i --sqli-analysis [FILE]\t日志分析-SQL注入专业分析\n"
printf "\t -e --auto-run [0-23|c]\t\t加入到定时运行计划\n"
printf "\t -o --output [FILENAME]\t\t导出全量输出模式文件\n"
printf "\t -m --output-html [FILENAME]\t导出全量输出模式文件\n"
}
# [ ++ Function HELP_EN ++ ]
function help_en
{
logo
printf "usage: \n\n"
printf "\t -v --version\t\t\tShow version.\n "
printf "\t -h --help\t\t\tShow help guide.\n"
printf "\t -l --login [FILEPATH]\t\tShow user login log.\n"
printf "\t -n --nomal\t\t\tNomal print.\n"
printf "\t -a --all\t\t\tAll print.\n"
printf "\t -x --process-and-service\tCheck service and process information.\n"
printf "\t -u --user-device\t\tCheck device information.\n"
printf "\t -p --port\t\t\tShow port information.\n"
printf "\t -s --os-status\t\t\tShow os status information.\n"
printf "\t -w --webshell [PATH]\t\tFind the webshell file.\n"
printf "\t -r --risk\t\t\tCheck os vulneribility.\n"
printf "\t -k --rookitcheck\t\tCheck os rookit.\n"
printf "\t -b --baseline\t\t\tBaseline security assessment.\n"
printf "\t -c --httpstatuscode [URL|FILE]\tHttp status code scan.\n"
printf "\t -i --sqli-analysis [FILE]\tLog Analysis - Professional Analysis of SQL Injection.\n"
printf "\t -e --auto-run [0-23|c]\t\tAdd to crontab to run regularly.\n"
printf "\t -o --output [FILENAME]\t\tOutput to file.\n"
printf "\t -m --output-html [FILENAME]\tOutput to html file.\n"
}
# --------------------------------------
# | Uers Functions |
# --------------------------------------
# 维护中
function user
{
if [ -e $AUTHLOG_FILE ]
then
echo
T='11'
LOG=/tmp/valid.$$.log
grep -v "invalid" $AUTHLOG_FILE > $LOG
users=$(grep "Failed password" $LOG | awk '{ print $(NF-5) }' | sort | uniq)
printf "\e[4;34m%-5s|%-10s|%-15s|%-19s|%-33s|%s\n\e[0m" "Sr#" "登入用户名" "尝试次数" "IP地址" "虚拟主机映射" "时间范围"
ucount=0;
ip_list="$(egrep -o "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" $LOG | sort | uniq)"
for ip in $ip_list;
do
grep $ip $LOG > /tmp/temp.$$.log
for user in $users;
do
grep $user /tmp/temp.$$.log> /tmp/$$.log
cut -c-16 /tmp/$$.log > $$.time
tstart=$(head -1 $$.time);
start=$(date -d "$tstart" "+%s");
tend=$(tail -1 $$.time);
end=$(date -d "$tend" "+%s")
limit=$(( $end - $start ))
if [ $limit -gt 120 ];
then
let ucount++;
IP=$(egrep -o "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" /tmp/$$.log | head -1 );
TIME_RANGE="$tstart-->$tend"
ATTEMPTS=$(cat /tmp/$$.log|wc -l);
HOST=$(host $IP | awk '{ print $NF }' )
printf "%-5s|%-10s|%-11s|%-17s|%-27s|%-s\n" "$ucount" "$user" "$ATTEMPTS" "$IP" "$HOST" "$TIME_RANGE";
fi
done
done
rm -f /tmp/valid.$$.log/tmp/$$.log $$.time/tmp/temp.$$.log 2>/dev/null
rm -f *.time
else
printf "\n不存在默认文件,请指定该系统文件路径。\n\n"
fi
}
function user_debian
{
echo -e "${bg_red}\n『 用户登录 』${reset}\n"
cat $AUTH_S | grep "session opened" | awk '{print $1 " " $2, $3, "用户登录", $11}' | tail -20;echo
echo -e "${bg_red}\n『 用户登出 』${reset}\n"
cat $AUTH_S | grep "session closed" | awk '{print $1 " " $2, $3, "用户登出", $11}' | tail -20;echo
echo -e "${bg_red}\n『 攻击次数 攻击者IP --> 枚举用户名 』${reset}\n"
cat $AUTH_S | grep "Failed password for invalid user" | awk '{print $13 " --> " $11}' | sort | uniq -c | sort -rn | awk '{print "[+] 用户名不存在 "$0}' | head -20
echo -e "${bg_red}\n『 攻击者IP次数 』${reset}\n"
cat $AUTH_S | grep "Failed password for invalid user" | awk '{print $11 " --> " $13}' | sort | uniq -c | sort -rn | awk '{print $4}' | sort | uniq -c | awk '{print "[+] "$2" 攻击次数 "$1"次"}';echo
echo -e "${bg_red}\n『 登录成功IP地址 』${reset}\n"
cat $AUTH_S | grep "Accepted" | awk '{print "时间:"$1"-"$2"-"$3"\t登录成功\t "$11" --> "$9 " 使用方式: "$7}';echo
echo -e "${bg_red}\n『 对用户名进行密码爆破次数 』${reset}\n"
cat $AUTH_S | grep "Failed password for" | grep -v invalid | awk '{print $11"—->"$9}'| uniq -c | sort -rn | awk '{print "[+] 攻击次数: " $1 " 详情: "$2}' | head -20;echo
}
function user_centos
{
echo -e "${bg_red}\n『 攻击次数TOP 攻击者IP --> 枚举用户名 』${reset}\n"
cat $SECURE_S | grep "Failed password for invalid user" | awk '{print $13 " --> " $11}' | sort | uniq -c | sort -rn | awk '{print "[+] 用户名不存在 "$0}' | head -20
echo -e "${bg_red}\n『 攻击者IP次数TOP 』${reset}\n"
cat /var/log/secure | grep "Failed password for invalid user" | awk '{print $11 " --> " $13}' | sort | uniq -c | sort -rn | awk '{print $4}' | sort | uniq -c | sort -k1rn | awk '{print "[+] "$2" 攻击次数 "$1"次"}';echo
echo -e "${bg_red}\n『 登录成功IP地址 』${reset}\n"
cat $SECURE_S | grep "Accepted" | awk '{print "时间:"$1"-"$2"-"$3"\t登录成功\t "$11" --> "$9 " 使用方式: "$7}';echo
echo -e "${bg_red}\n『 对用户名进行密码爆破次数 』${reset}\n"
cat $SECURE_S | grep "Failed password for" | grep -v invalid | awk '{print $11"—->"$9}'| uniq -c | sort -rn | awk '{print "[+] 攻击次数: " $1 " 详情: "$2}' | head -20;echo
}
function user_centos_defi
{
$SECURE_S=$2
user_centos
}
# --------------------------------------
# | Fuck module Functions |
# --------------------------------------
# [ ++ Function bar ++ ]
function bar
{
color
bar_user_logi=`printf "${red}%50s${reset}" "[ 用户登录信息 ]"`
bar_base_info=`printf "${red}%50s${reset}" "[ 用户基本信息 ]"`
bar_logs_hist=`printf "${red}%50s${reset}" "[ 用户历史命令 ]"`
bar_user_info=`printf "${red}%50s${reset}" "[ 用户信息排查 ]"`
bar_cron_task=`printf "${red}%50s${reset}" "[ 用户计划任务 ]"`
bar_osys_stat=`printf "${red}%50s${reset}" "[ 系统状态信息 ]"`
bar_port_open=`printf "${red}%50s${reset}" "[ 显示开启端口 ]"`
bar_proc_port=`printf "${red}%50s${reset}" "[ 进程状态信息 ]"`
bar_proc_serv=`printf "${red}%50s${reset}" "[ 服务状态信息 ]"`
bar_file_move=`printf "${red}%50s${reset}" "[ 文件信息排查 ]"`
bar_web_shell=`printf "${red}%50s${reset}" "[ webshell查找 ]"`
bar_vuln_find=`printf "${red}%50s${reset}" "[ 常见漏洞评估 ]"`
bar_base_line=`printf "${red}%50s${reset}" "[ 基线安全评估 ]"`
bar_http_scan=`printf "${red}%50s${reset}" "[ 存活页面探测 ]"`
bar_find_rkit=`printf "${red}%50s${reset}" "[ rootkit查杀 ]"`
bar_repo_rest=`printf "${red}%50s${reset}" "[ 生成应急报告 ]"`
bar_sqli_anal=`printf "${red}%50s${reset}" "[ 日志分析-SQLi ]"`
bar_auto_fuck=`printf "${red}%50s${reset}" "[ Whoamifuck ]"`
}
# [ ++ Message status ++ ]
function stats
{
color
SUC="[${green}SUCCESS${reset}]"
WAR="[${orange}WARNING${reset}]"
ERR="[${redx}ERROR${reset}]"
}
# [ ++ Function OS_NAME ++ ]
function os_name
{
if [ -e /etc/os-release ]; then
# Get the name of the current Linux distribution
# 如果不存在这个文件呢?待改进 TODO
os_name=$(grep PRETTY_NAME /etc/os-release | cut -d= -f2 | tr -d '"')
if [[ "$os_name" == *"Debian"* ]]; then
OSNAME="Debian"
OSTYPE="T_Debian"
elif [[ "$os_name" == *"CentOS"* ]]; then
OSNAME="CentOS"
OSTYPE="T_RedHat"
elif [[ "$os_name" == *"Ubuntu"* ]]; then
OSNAME="Ubuntu"
OSTYPE="T_Debian"
elif [[ "$os_name" == *"Kali"* ]]; then
OSNAME="Kali"
OSTYPE="T_Debian"
else
OSNAME="Unknown distribution"
OSTYPE="T_RedHat" # 未知情况默认红帽系,centos的阉割版还是多的
fi
fi
}
# [ ++ Check Command ++ ]
function fk_command
{
stats
if ! which curl &> /dev/null; then
printf "$WAR curl 命令不存在将导致web存活模块无法使用。\n"
fi
}
function i
{
color
os_name
# os
if [[ $OSTYPE == "T_Debian" ]]; then
OS_APP="apt-get"
else
OS_APP="yum"
fi
local package=$1
if ! command -v "$package" &> /dev/null; then
printf "$package ${redx} uninstalled ${reset} \n"
read -p "是否安装 $package? (Y/n): " choice
choice=${choice:-y}
case "$choice" in
y|Y )
echo "正在安装 $package..."
sudo $OS_APP update
sudo $OS_APP install -y "$package"
;;
* )
printf "exit\n"
exit 1
;;
esac
else
printf "$package ${green} installed ${reset} \n"
fi
}
# [ ++ Function User_Login pro ++ ]
function fk_userlogin
{
bar
printf "%s\n" "$bar_user_logi"
if [ -f "$FILE" ]; then
if [[ "$FILE" == *"secure"* ]]; then
SECURE_S=$FILE
user_centos "SECURE_S"
else
AUTH_S=$FILE
user_debian "AUTH_S"
fi
else
if [ -e /etc/os-release ]; then
# Get the name of the current Linux distribution
os_name=$(grep PRETTY_NAME /etc/os-release | cut -d= -f2 | tr -d '"')
# Run the appropriate script based on the distribution name
if [[ "$os_name" == *"Debian"* ]]; then
if [ -f $AUTHLOG_FILE ]; then
AUTH_S=$AUTHLOG_FILE
user_debian "$AUTH_S"
else
echo $AUTHLOG_FILE"文件不存在"
fi
elif [[ "$os_name" == *"CentOS"* ]]; then
if [ -f "$SECURE_FILE" ]; then
SECURE_S=$SECURE_FILE
user_centos "$SECURE_S"
else
echo $SECURE_FILE"文件不存在"
fi
elif [[ "$os_name" == *"Ubuntu"* ]]; then
if [ -f $AUTHLOG_FILE ]; then
AUTH_S=$AUTHLOG_FILE
user_debian "$AUTH_S"
else
echo $AUTHLOG_FILE"文件不存在"
fi
elif [[ "$os_name" == *"Kali"* ]]; then
if [ -f $AUTHLOG_FILE ]; then
AUTH_S=$AUTHLOG_FILE
user_debian "$AUTH_S"
else
echo $AUTHLOG_FILE"文件不存在"
fi
else
echo "内核未知版本,默认采用RedHat系列。"
SECURE_S=$SECURE_FILE
user_centos "SECURE_S"
fi
fi
fi
}
# [ ++ Function BASE_INFOMATION ++ ]
## 用户基本信息
function fk_baseinfo
{
color
ETH=`ifconfig -s | grep ^e | awk '{print $1}' | wc -l`
if [ $ETH -eq 1 ]; then
ETHx=`ifconfig -s | grep ^e | awk '{print $1}'`
IP=`ifconfig $ETHx | head -2 | tail -1 | awk '{print $2}'`
ZW=`ifconfig $ETHx | head -2 | tail -1 | awk '{print $4}'`
elif [ $ETH -eq 2 ]; then
ETH0=`ifconfig -s | grep ^e | awk 'NR==1{print $1}'`
ETH1=`ifconfig -s | grep ^e | awk 'NR==2{print $1}'`
IP1=`ifconfig $ETH0 | head -2 | tail -1 | awk '{print $2}'`
ZW1=`ifconfig $ETH0 | head -2 | tail -1 | awk '{print $4}'`
IP2=`ifconfig $ETH1 | head -2 | tail -1 | awk '{print $2}'`
ZW2=`ifconfig $ETH1 | head -2 | tail -1 | awk '{print $4}'`
IP="$IP1,$IP2"
ZW="$ZW1,$ZW2"
elif [ $ETH -gt 2 ]; then
echo "The variable is greater 3"
else
echo "panic!"
fi
GW=`route -n | tail -1 | awk '{print $1}'`
HN=`hostname`
VM=`lscpu | grep "Hyper.*:\|Virtu\|超管理器厂商" | awk -F [::] '{print $2}' | sed 's/ //g' | paste -sd,`
DNS=`cat "/etc/resolv.conf" | grep nameserver | awk '{print $2}' | paste -sd,`
OS=`uname --kernel-name --kernel-release`
TUN=`uptime | sed 's/user.*$//' | awk '{print $NF}'`
M_TIME=`date +"%Y-%m-%d %H:%M:%S %s"`
OSNAME_VER=`cat /etc/os-release | grep '^VERSION_ID=' | awk -F '=' '{print $2}' | tr -d '"'`
# show
os_name
IP_C=`echo -e "${cyan}$IP${reset}"`
HN_C=`echo -e "${yellow}$HN${reset}「 ${white}$WHOAMIFUCK${reset} 」"`
OSNAME_C=`echo -e "${bg_purple}$OSNAME $OSNAME_VER${reset}「 ${blue}$VM${reset} 」"`
TUN_C=`echo -e "${white}$TUN${reset}"`
M_TIME_C=`echo -e "${green}$M_TIME${reset}"`
bar
if [ -z $show ]; then
printf "%s\n" "$bar_base_info"
echo
printf "%-21s|\t%-25s\t\t" "本机IP地址是" "$IP_C"
printf "%-21s|\t%s\n" "本机子网掩码是 " "$ZW"
printf "%-21s|\t%-25s\t" "本机网关是" "$GW"
printf "%-17s|\t%s\n" "当前在线用户 " "$TUN_C"
printf "%-22s|\t%s\n" "本机主机名是" "$HN_C"
printf "%-19s|\t%s\n" "本机DNS是" "$DNS"
printf "%-20s|\t%s\n" "系统版本" "$OS"
printf "%-20s|\t%s\n" "系统内核" "$OSNAME_C"
echo "------------------------------------------------------------------------------------------------------"
printf "%s%s" "此刻唯一时间戳[本地]: " "$M_TIME_C"
echo
else
noprint=$show
fi
}
# [ ++ Function OS_STATUS_INFORMATION ++ ]
## 系统状态信息
function fk_devicestatus
{
# 查看内存、磁盘、CPU状态
TA=$(free -m | awk 'NR==2{printf "%.2f%%\t\t",$3*100/$2}' ;echo;)
TB=$(df -h| awk '$NF=="/"{printf "%s\t\t",$5}')
TC=$(top -bn1 | grep load | awk '{printf "%.2f%%\t\t\n",2$(NF2)}')
bar
if [[ -z $show ]]; then
printf "%s\n" "$bar_osys_stat"
echo
printf "%s%s" "Memory:" "$TA"
printf "%s%s" "Disk:" "$TB"
printf "%s%s" "CPU:" "$TC"
echo
else
noprint=$show
fi
}
# [ ++ Function PROCESS_SERVICE_INFORMATION ++ ]
## 进程与服务信息
function fk_procserv
{
bar
printf "%s\n" "$bar_proc_port"
printf "%s" "`ps aux`"
echo
printf "%s\n" "$bar_proc_serv"
echo
printf "%s" "`systemctl | grep -E "\.service.*running" | awk -F. '{print $1}'`"
echo
}
# [ ++ Function OPENPORT_INFORMATION ++ ]
## 开启端口列表
function fk_portstatus
{
PORT=`netstat -tunlp | awk '/^tcp/ {print $4,$7}; /^udp/ {print $4,$6}' | sed -r 's/.*:(.*)\/.*/\1/' | sort -un | awk '{cmd = "sudo lsof -w -i :" $1 " | awk '\''NR==2{print $1}'\''"; cmd | getline serviceName; close(cmd); print $1 "\t" serviceName}'`
bar
echo
printf "%s\n" "$bar_port_open"
echo
printf "%s\n" "$PORT"
}
# [ ++ Function HISTORY_INFORMSTION ++ ]
# 历史命令
function fk_history
{
# 脚本无法执行history命令
HI=`cat ~/.*sh_history | tail -10` # 查看用户的历史命令,使用通配符的方式
bar
echo
printf "%s\n" "$bar_logs_hist"
echo
printf "%s" "$HI"
echo
echo
}
# [ ++ Function CRONTAB_INFORMSTION ++ ]
## 计划任务
function fk_crontab
{
CRON=`crontab -l 2>/dev/null`
# /var/spool/cron/'
# /etc/cron.d/'
# /etc/cron.daily/'
# /etc/cron.weekly/'
# /etc/cron.hourly/'
# /etc/cron.monthly/'
bar
echo
printf "%s\n" "$bar_cron_task"
echo
printf "%s" "$CRON"
echo
}
# [ ++ Function FILEMOVE_INFORMSTION ++ ]
## 文件修改信息
function fk_filemove
{
M_FILE=`find -type f -mtime -3`
M_FILE_VAR=`find /var/ -type f -mtime -3 | xargs ls -la 2>/dev/null`
C_FILE=`find -type f -ctime -3`
echo
bar
if [ -z $show ]; then
printf "%s\n" "$bar_file_move"
echo
echo "[+] 最近三天更改的文件"
printf "%s\n\n" "$M_FILE"
echo "[+] 最近三天创建的文件"
printf "%s\n\n" "$C_FILE"
echo "[+] /var下最近三天更改的文件"
printf "%s\n\n" "$M_FILE_VAR"
echo
else
noprint=$show
fi
}
# [ ++ Function USER_INFORMSTION ++ ]
## 用户信息排查
function fk_userinfo
{
USER=`cat /etc/passwd | tail -10`
SHADOW=`cat /etc/shadow | tail -10`
ROOT=`awk -F: '$3==0{print $1}' /etc/passwd`
TELNET=`awk '/$1|$6/{print $1}' /etc/shadow`
SUDO_FILE="/etc/sudoers"
if [ -f "$SUDO_FILE" ]; then
SUDO=`more /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)"`
else
SUDO="[-] 不存在 $SUDO_FILE 文件。"
fi
echo
bar
printf "%s\n" "$bar_user_info"
echo
echo "[+] /etc/passwd最新10个用户"
echo
printf "%s\n" "$USER"
echo
echo "[+] /etc/shadow最新10个影子"
echo
printf "%s\n" "$SHADOW"
echo
echo "[+] 具有root权限的用户"
printf "%s\n" "$ROOT"
echo
echo "[+] 具有远程登入权限的用户"
printf "%s\n" "$TELNET"
echo
echo "[+] 是否拥有SUDO权限的普通用户"
printf "%s\n" "$SUDO"
echo
fk_userlogin
echo
}
# [ ++ Function SSH_BACKDOOR ++ ]
## SSH后门
function fk_sshlink
{
processes=$(netstat -ntpl 2>/dev/null | grep -v ':22 ' | awk '{if (NR>2){print $7}}' | sed 's|/.*||')
processesx=$(netstat -ntpl 2>/dev/null | awk '{if (NR>2){print $7}}' | sed 's|/.*||')
declare -a sshlink_processes=()
declare -a sshwrapper_processes=()
sshbackdoor_info=''
for pid in $processes; do
# 检查 /proc/pid/exe 是否存在 sshd 软链接
if [ -L "/proc/$pid/exe" ]; then
if [ "$(readlink /proc/$pid/exe)" == "/usr/sbin/sshd" ]; then
sshlink_processes+=("$pid")
fi
fi
done
for pid in $processesx; do
# 检查 /proc/pid/exe 是否存在 SSH Server wrapper 后门
if [ -L "/proc/$pid/exe" ]; then
if [ "$(readlink /proc/$pid/exe)" == "/usr/bin/sshd" ]; then
sshwrapper_processes+=("$pid")
fi
fi
done
for pid in $processesx; do
# 细节
if [ -e "/proc/$pid/exe" ]; then
sshbackdoor_info+="$(ls -al /proc/$pid/ | grep 'exe')\\n"
fi
done
if [ ${#sshlink_processes[@]} -gt 0 ]; then
sshlink="异常进程:${sshlink_processes[@]}"
else
sshlink="未发现异常进程"
fi
if [ ${#sshwrapper_processes[@]} -gt 0 ]; then
sshwrapper="异常进程:${sshwrapper_processes[@]}"
else
sshwrapper="未发现异常进程"
fi
}
# [ ++ Function Webshell_Check ++ ]
## webshell检测
function fk_wsfinder
{
WEBSHELL_RULE_PHP='array_map\(|pcntl_exec\(|proc_open\(|popen\(|assert\(|phpspy|c99sh|milw0rm|eval?\(|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec\(|passthru\(|base64_decode\s?\(|gzuncompress\s?\(|gzinflate|\(\$\$\w+|call_user_func\(|call_user_func_array\(|preg_replace_callback\(|preg_replace\(|register_shutdown_function\(|register_tick_function\(|mb_ereg_replace_callback\(|filter_var\(|ob_start\(|usort\(|uksort\(|uasort\(|GzinFlate\s?\(|\$\w+\(\d+\)\.\$\w+\(\d+\)\.|\$\w+=str_replace\(|eval\/\*.*\*\/\('
WEBSHELL_RULE_PHP_1='^(\xff\xd8|\x89\x50|GIF89a|GIF87a|BM|\x00\x00\x01\x00\x01)[\s\S]*<\?\s*php'
WEBSHELL_RULE_PHP_2='\b(assert|eval|system|exec|shell_exec|passthru|popen|proc_open|pcntl_exec)\b[\/*\s]*\(+[\/*\s]*((\$_(GET|POST|REQUEST|COOKIE)\[.{0,25})|(base64_decode|gzinflate|gzuncompress|gzdecode|str_rot13)[\s\(]*(\$_(GET|POST|REQUEST|COOKIE)\[.{0,25}))'
WEBSHELL_RULE_PHP_3='\$\s*(\w+)\s*=[\s\(\{]*(\$_(GET|POST|REQUEST|COOKIE)\[.{0,25});[\s\S]{0,200}\b(assert|eval|system|exec|shell_exec|passthru|popen|proc_open|pcntl_exec)\b[\/*\s]*\(+[\s"\/*]*(\$\s*\1|((base64_decode|gzinflate|gzuncompress|gzdecode|str_rot13)[\s\("]*\$\s*\1))'
WEBSHELL_RULE_PHP_4='\b(filter_var|filter_var_array)\b\s*\(.*FILTER_CALLBACK[^;]*((\$_(GET|POST|REQUEST|COOKIE|SERVER)\[.{0,25})|(eval|assert|ass\\x65rt|system|exec|shell_exec|passthru|popen|proc_open|pcntl_exec))'
WEBSHELL_RULE_PHP_5="\b(assert|eval|system|exec|shell_exec|passthru|popen|proc_open|pcntl_exec|include)\b\s*\(\s*(file_get_contents\s*\(\s*)?[\'\"]php:\/\/input"
WEBSHELL_RULE_JSP='<%@\spage\simport=[\s\S]*\\u00\d+\\u00\d+|<%@\spage\simport=[\s\S]*Runtime.getRuntime\(\).exec\(request.getParameter\(|Runtime.getRuntime\(\)'
color
bar
mkdir -p output
printf "%s\n" "$bar_web_shell"
if [ -z $WEBSHELL_PATH ]; then
webpath="/www/wwwroot"
webroot="/var/www"
echo
echo "[+] check /www/wwwroot"
echo
if [ -d $webpath ]; then
echo -e "${red}1. PHP类${reset}"
find $webpath -type f -name "*.php" -exec grep -P -i --color=always $WEBSHELL_RULE_PHP {} + | tee -a output/webshell.log
echo -e "${red}2. JSP类${reset}"
find $webpath -type f -name "*.jsp" -exec grep -P -i --color=always $WEBSHELL_RULE_JSP {} + | tee -a output/webshell.log
else
echo "未找到该目录"
fi
echo
echo "[+] check /var/www"
echo
if [ -d $webroot ]; then
echo -e "${red}1. PHP类${reset}"
find $webroot -type f -name "*.php" -exec grep -P -i --color=always $WEBSHELL_RULE_PHP {} + | tee -a output/webshell.log
echo -e "\n" | tee -a output/webshell.log
echo -e "${red}2. JSP类${reset}"
find $webroot -type f -name "*.jsp" -exec grep -P -i --color=always $WEBSHELL_RULE_JSP {} + | tee -a output/webshell.log
echo -e "\n" | tee -a output/webshell.log
else
echo "未找到该目录"
fi
else
echo
echo "[+] check $WEBSHELL_PATH"
echo
if [ -d $WEBSHELL_PATH ]; then
echo -e "${red}1. PHP类${reset}"
find $WEBSHELL_PATH -type f -name "*.php" -exec grep -P -i --color=always $WEBSHELL_RULE_PHP {} + | tee -a output/webshell.log
find $WEBSHELL_PATH -type f -name "*.php" -exec grep -P -i --color=always $WEBSHELL_RULE_PHP_1 {} + | tee -a output/webshell.log
find $WEBSHELL_PATH -type f -name "*.php" -exec grep -P -i --color=always $WEBSHELL_RULE_PHP_2 {} + | tee -a output/webshell.log
find $WEBSHELL_PATH -type f -name "*.php" -exec grep -P -i --color=always $WEBSHELL_RULE_PHP_3 {} + | tee -a output/webshell.log
find $WEBSHELL_PATH -type f -name "*.php" -exec grep -P -i --color=always $WEBSHELL_RULE_PHP_4 {} + | tee -a output/webshell.log
find $WEBSHELL_PATH -type f -name "*.php" -exec grep -P -i --color=always $WEBSHELL_RULE_PHP_5 {} + | tee -a output/webshell.log
echo -e "${red}2. JSP类${reset}"
find $WEBSHELL_PATH -type f -name "*.jsp" -exec grep -P -i --color=always $WEBSHELL_RULE_JSP {} + | tee -a output/webshell.log
else
echo "未找到该目录"
fi
fi
echo
sed "s/\x1B\[[0-9;]*[JKmsu]//g" output/webshell.log >> output/webshell.txt
rm -f output/webshell.log
}
# [ ++ Function Vulneribility_Check ++ ]
## 漏洞检查
function fk_vulcheck
{
color
bar
echo
printf "%s\n" "$bar_vuln_find"
echo
echo -e "${red}1. redis未授权${reset}\n"
find / -name "redis.conf" -exec grep --color=always -H "# requirepass " {} \; 2>/dev/null | tee -a vuln.log
echo
echo -e "${red}2. redis弱口令自查${reset}\n"
find / -name "redis.conf" -exec grep --color=always -H "^requirepass " {} \; 2>/dev/null | awk '{split($0, a, " "); $NF="****"; print}'
find / -name "redis.conf" -exec grep --color=always -H "^requirepass " {} \; 2>/dev/null | awk '{print $2}' > pass.tmp
echo "-------"
grep -E "admin123|test|123456|admin|root|12345678|111111|p@ssw0rd|test|qwerty|zxcvbnm|123123|12344321|123qwe|password|1qaz|000000|666666|888888" pass.tmp | awk '{print "[+] "$1}'
echo
sed "s/\x1B\[[0-9;]*[JKmsu]//g" vuln.log > vuln.txt
rm -f vuln.log pass.tmp
}
# [ ++ Function Baseline_Check ++ ]
## 基线检查
function fk_baseline
{
os_name
color
bar
# os
if [[ $OSTYPE == "T_Debian" ]]; then
PAM_FILE="/etc/pam.d/common-auth"
else
PAM_FILE="/etc/pam.d/system-auth"
fi
echo
printf "%s\n" "$bar_base_line"
echo
# ----------------------------------------------------------------------
echo -e "${purple}${bold}1. 身份鉴别${reset}\n"
echo # 1.1
echo -e "${blue}1.1 应对登录操作系统和数据库系统的用户进行身份标识和鉴别${reset}\n"
echo "预期结果:""
1)操作系统使用口令鉴别机制对用户进行身份标识和鉴别;
2)登录时提示输入用户名和口令;以错误口令或空口令登录时提示登录失败,验证了登录控制功能的有效性;
3)操作系统不存在密码为空的用户。"
echo -e "${red}cat /etc/passwd${reset}"
cat /etc/passwd | tail
echo -e "${red}cat /etc/shadow${reset}"
cat /etc/shadow | tail
echo "整改建议:操作系统和数据库每个用户都必须设置登录用户名和登录密码,不能存在空密码。"
echo # 1.2
echo -e "${blue}1.2 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换${reset}\n"
echo "预期结果:"
echo "密码策略如下:PASS_MAX_DAYS 90(生命期最大为90天)
PASS_MIN_DAYS 0(密码最短周期0天)
PASS_MIN_LEN 10(密码最小长度10位)
PASS_WARN_AGE 7(密码到期前7天提醒)
口令复杂度:
口令长度8位以上,并包含数字、字母、特殊字符三种形式"
echo -e "${red}more /etc/login.defs${reset}"
more /etc/login.defs | grep "PASS"
echo "\n整改建议:密码最大生存周期为90天
密码最短修改周期为0天,可以随时修改密码
密码最小长度为10位,包含数字,特殊字符,字母(大小写)三种形式
密码到期前7天必须提醒"
echo
echo # 1.3
echo -e "${blue}1.3 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施${reset}\n"
echo "预期结果:"
echo "1)操作系统已启用登陆失败处理、结束会话、限制非法登录次数等措施;"
echo "2)当超过系统规定的非法登陆次数或时间登录操作系统时,系统锁定或自动断开连接"
echo -e "${red}cat $PAM_FILE | grep "^auth"${reset}"
cat $PAM_FILE | grep "^auth"
echo -e "${red}cat /etc/shadow${reset}"
cat /etc/shadow | tail
echo "整改建议:建议限制,密码过期后重设的密码不能和前三次的密码相同。"
echo
echo # 1.4
echo -e "${blue}1.4 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听${reset}\n"
echo "预期结果:"
echo "1)操作系统使用SSH协议进行远程连接;
2)若未使用SSH方式进行远程管理,则查看是否使用telnet方式进行远程管理;"
echo -e "${red}systemctl is-active ssh*${reset}"
systemctl is-active "ssh*"
echo -e "${red}systemctl is-active telnet*${reset}"
systemctl is-active "telnet*"
echo
echo "整改建议:系统远程登录时要采取SSH方式登录或采用密文传输信息,保障信息的安全性。"
echo
echo # 1.5
echo -e "${blue}1.5 为操作系统和数据库的不同用户分配不同的用户名,确保用户名具有唯一性${reset}\n"
echo "预期结果:"
echo "用户的标识唯一,若系统允许用户名相同,UID不同,则UID是唯一性标识;若系统允许UID相同,则用户名是唯一性标识。"
echo -e "${red}awk -F: '{print $1, $3}' /etc/passwd | sort -k2 | column -t${reset}"
systemctl is-active "ssh*"
echo -e "${red}systemctl is-active telnet*${reset}"
systemctl is-active "telnet*"
echo
echo "整改建议:UID是唯一性标识,每个用户必须采用不同的UID来区分。"
echo
echo
# ----------------------------------------------------------------------
echo -e "${purple}${bold}2. 访问控制${reset}\n"
echo
echo # 2.1
echo -e "${blue}2.1 应启用访问控制功能,依据安全策略控制用户对资源的访问${reset}\n"
echo "预期结果:"
echo "root用户:
passwd文件夹只有rw-r-r权限
shadow文件夹只有r- - -权限
r=4 w=2 x=1
"
echo -e "${red}ls -l /etc/passwd${reset}"
ls -l /etc/passwd
echo -e "${red}ls -l /etc/shadow${reset}"
ls -l /etc/shadow
echo
echo "整改建议:根据实际需求,对每个用户的访问权限进行限制,对敏感的文件夹限制访问用户的权限。"
echo
echo # 2.2
echo -e "${blue}2.2 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限${reset}\n"
echo "预期结果:"
echo "询问管理员,了解每个用户的作用、权限"
echo -e "${red}awk -F: '$3==0 {print $1}' /etc/passwd${reset}"
awk -F: '$3==0 {print $1}' /etc/passwd
echo
echo "整改建议:给予账户所需最小权限,避免出现特权用户。"
echo
echo # 2.3
echo -e "${blue}2.3 应实现操作系统和数据库系统特权用户的权限分离${reset}\n"
echo "预期结果:"
echo "操作系统和数据库的特权用户的权限必须分离,避免一些特权用户拥有过大的权限,减少人为误操作。"
echo -e "${red}awk -F: '$3==0 {print $1}' /etc/passwd${reset}"
awk -F: '$3==0 {print $1}' /etc/passwd
echo -e "${cyan}ps:具体情况还是得询问管理员是否存在数据库用户权限分离。${reset}"
echo
echo "整改建议:分离数据库和操作系统的特权用户,不能使一个用户权限过大。"
echo
echo # 2.4
echo -e "${blue}2.4 应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令${reset}\n"
echo "预期结果:"
echo "默认账户已更名,或已被禁用"
echo -e "${red}cat /etc/passwd | head${reset}"
cat /etc/passwd | head
echo
echo "整改建议:严格限制默认账户的访问权限,对存在的默认账户的用户名和口令进行修改。使用[usermod -l <新账户名> root]来修改用户名,使用 [ usermod -L 用户名],来锁定默认用户。"
echo -e "${cyan}ps: 更改root名称可能导致telnet无法使用,是否配置按具体情况,具体等级分析。${reset}"
echo
echo # 2.5
echo -e "${blue}2.5 应及时删除多余的、过期的帐户,避免共享帐户的存在${reset}\n"
echo "预期结果:"
echo "不存在多余、过期和共享账户"
echo -e "${red}cat /etc/passwd | awk -F: '{print $1}' | paste -sd,${reset}"
cat /etc/passwd | awk -F: '{print $1}' | paste -sd,
echo
echo "整改建议:删除、禁用例如uucp,ftp等多余账户。"
echo
# ----------------------------------------------------------------------
echo -e "${purple}${bold}3. 安全审计${reset}\n"
echo # 3.1
echo -e "${blue}3.1 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户${reset}\n"
echo "预期结果:"
echo "系统开启了安全审计功能或部署了第三方安全审计设备"
echo -e "${red}systemctl is-active auditd${reset}"
systemctl is-active auditd
echo
echo "整改建议:开启系统本身的安全审计功能,完整记录用户对操作系统和文件访问情况,或采用第三方的安全审计设备。"
echo
echo # 3.2
echo -e "${blue}3.2 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件${reset}\n"
echo "预期结果:"
echo "审计功能已开启,包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等设置"
echo -e "${red}ps -ef | grep auditd${reset}"
ps -ef | grep auditd
echo
echo "整改建议:开启审计功能,记录用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等操作。"
echo
echo # 3.3
echo -e "${blue}3.3 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等${reset}\n"
echo "预期结果:"
echo "审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等内容"
echo -e "${red}ps -ef | grep auditd${reset}"
echo -e "${cyan}ps:具体查看cat /etc/audit/auditd.conf | cat /etc/audit/audit.rules。${reset}"
echo
echo "整改建议:记录事件产生的时间,日期,类型,主客体标识等。"
echo
echo # 3.4
echo -e "${blue}3.4 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新${reset}\n"
echo "预期结果:"
echo "1)系统安装的组件和应用程序遵循了最小安装的原则;
2)不必要的服务没有启动;
3)不必要的端口没有打开;
"
echo -e "${red}lsof -i -P -n | grep LISTEN${reset}"
lsof -i -P -n | grep LISTEN
echo -e "${red}service --status-all | grep running${reset}"
service --status-all
echo
echo "整改建议:在不影响系统的正常使用的前提下,对系统的一些端口和服务可以进行关闭,避免这些端口或服务的问题导致系统问题。"
echo
# ----------------------------------------------------------------------
echo -e "${purple}${bold}4. 资源控制${reset}\n"
echo # 4.1
echo -e "${blue}4.1 应通过设定终端接入方式、网络地址范围等条件限制终端登录${reset}\n"
echo "预期结果:"
echo "已设定终端登录安全策略及措施,非授权终端无法登录管理。"
echo -e "${red}etc/hosts.deny、/etc/hosts.allow中对终端登录限制的相关配置参数${reset}"
echo -e "${cyan}ps:查看相关配置。${reset}"
echo
echo "整改建议:建议配置固定的终端、特定的网络范围内才能进行终端登录。"
echo
echo # 4.2
echo -e "${blue}4.2 应根据安全策略设置登录终端的操作超时锁定${reset}\n"
echo "预期结果:"
echo "已在/etc/profile中为TMOUT设置了合理的操作超时时间。"
echo -e "${red}cat /etc/profile | grep "TMOUT"${reset}"
cat /etc/profile | grep "TMOUT"
echo
echo "整改建议:超时时间建议设置为300秒。"
echo
}
# [ ++ Function HTTP_STATUS_CODE ++ ]
## 扫描web页面存活
function fk_http_scan
{
color
bar
echo
printf "%s\n" "$bar_http_scan"
echo
mkdir -p output
useragent="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
if [ -f "$LIST" ]; then
url_list=$LIST
while IFS= read -r url_list; do
response=$(curl -k -A "${useragent}" --connect-timeout 10 --silent "${url_list}")
http_code=$(curl -k -A "${useragent}" --connect-timeout 10 --write-out "%{http_code}" --silent --output /dev/null "${url_list}")
title=$(echo "$response" | grep -oP '<title>\K(.*?)(?=<)')