Linux服务器应急响应简单脚本
采用python2,主要是通过ssh远程登录实现常见命令查看,所以在使用之前需要输入正确的服务器ip、ssh连接端口、ssh登录用户名、ssh登录密码,
·获取系统基本信息,ip地址,主机名称,版本;
·根据netstat、cpu占用率,获取异常程序pid,并定位异常所在路径;
·常见系统命令可能会被恶意文件替换修改,识别常见系统命令是否被修改;
·查看系统启动项目,根据时间排序,列出最近修改的前5个启动项;
·查看历史命令,列出处存在可疑参数的命令;
·查看非系统用户;
·查看当前登录用户(tty 本地登陆 pts 远程登录);
·通过查看passwd文件,确定系统当前用户;
·查看crontab定时任务;
·查看、保存最近三天系统文件修改情况;
·查看passwd,存在哪些用户id为0的特权用户;
·分析secure日志,判断其中是否存在异常ip地址;
上述所有操作均输出保存在log文件中