Linux安全检查与应急响应一键脚本:这款工具让运维工程师彻底告别手动排查时代

admin 2026-06-30 08:14:31 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文介绍一款Linux系统自动化安全检查与应急响应脚本,覆盖81项检测项目包括账户安全、网络连接、进程后门、命令完整性、定时任务等。工具以bash编写,兼容主流Linux发行版,支持一键生成安全报告并集成威胁情报API检测。文档提供完整使用方法和输出文件说明,同时包含公众号推广内容。 综合评分: 78 文章分类: 应急响应,安全工具,安全运营,解决方案,其他


cover_image

Linux安全检查与应急响应一键脚本:这款工具让运维工程师彻底告别手动排查时代

棉花糖糖糖 棉花糖糖糖

棉花糖网络安全工具箱

2026年6月29日 10:41 四川

在小说阅读器读本章

去阅读

免责声明:本文仅做技术分享,使用该工具前请确保已获得合法授权,切勿用于未授权的系统检测。

重点导读概述

该工具为一款面向Linux系统的自动化安全检查与应急响应脚本,核心功能覆盖81项安全检测项目。脚本以bash编写,兼容Ubuntu、CentOS 7、Kali等主流Linux发行版,通过一键执行方式完成系统安全状态全面体检。

危险项检测结果示例

重点导读用户信息检测

PART 01账户安全

检测超级用户、空口令账户、新增用户、新增用户组。提取/etc/passwd与/etc/shadow进行自动化分析,识别权限异常账户。

PART 02SSH公钥检查

遍历所有用户家目录.ssh/authorized_keys文件,排查未授权登录公钥残留。

PART 03Sudoers权限

分析/etc/sudoers配置,标记具有NOPASSWD权限的特殊用户。

PART 04账户文件权限

校验/etc/passwd/etc/shadow/etc/group/etc/gshadow文件权限,发现权限篡改。

重点导读网络连接分析

PART 05端口监听检测

扫描系统中正在监听的TCP/UDP端口,结合lsof工具输出详细进程信息。

PART 06网络连接状态

监控ESTABLISHED连接,识别可疑外部通信。

PART 07暴力破解检测

分析auth.log、secure日志,统计root账户Failed password次数与来源IP。

重点导读进程与后门检测

PART 08隐藏进程扫描

通过ps aux检测状态为S/D的隐藏进程,识别procfs挂载点异常。

PART 09反弹shell识别

基于特征字符串匹配netstat输出,检测nc、netcat、socat等常见反弹shell工具。

PART 10Alias后门检测

检查.bashrc.bash_profile.profile中的恶意alias定义。

PART 11SSH后门检测

扫描~/.ssh/config~/.ssh/authorized_keys,识别包含可疑命令的SSH配置。

PART 12进程文件提取

将所有运行中进程的对应可执行文件复制至webshell/目录,供沙箱检测。

MD5威胁情报对比

重点导读命令完整性校验

PART 13Hash值计算

计算/bin/usr/bin目录下所有命令文件的MD5值,生成CSV报告用于威胁情报对比。

PART 14篡改检测

通过微步威胁情报平台API批量查询MD5,快速定位被篡改的系统命令。

重点导读定时任务分析

PART 15系统定时任务

解析/etc/crontab/etc/cron.d/目录,识别可疑定时下载与脚本执行。

PART 16用户定时任务

检查/var/spool/cron//var/spool/cron/crontabs/下的用户级定时任务配置。

PART 17危险规则识别

使用正则匹配chmoduseraddwgetcurl等高危操作结合脚本后缀的定时任务。

重点导读日志审计

PART 18日志打包

自动将/var/log/目录完整打包,支持zip与tar.gz格式。

PART 19Secure日志分析

提取Accepted password、Failed password、新增用户组事件,统计登录成功/失败的IP与用户排名。

PART 20其他日志类型

分析btmp(错误登录)、lastlog(最后登录)、wtmp(历史登录)、message(文件传输)、cron(定时任务执行)等日志。

日志分析结果

重点导读系统状态监控

PART 21资源占用分析

输出CPU与内存使用率TOP 5进程,标记超过20%阈值的异常进程。

PART 22文件变更检测

查找7天内具有执行权限的变更文件,定位24小时内的脚本文件变动。

PART 23启动项排查

检查init.d服务、systemd自启动项、chkconfig自启动服务,识别可疑启动项。

PART 24防火墙检测

支持iptables、ufw、firewalld、nftables四种防火墙配置检查,标记any到any放行策略。

重点导读辅助功能

PART 25应急排查命令库

提供常用手敲命令速查手册,覆盖用户定位、网络连接、文件变更、后门类型、日志分析、内存马排查等场景。

PART 26事件记录

记录真实应急响应案例,包括打印机异常事件、挖矿木马排查等场景的经验总结。

重点导读使用方式

bash# 必须使用root权限运行
sudo bash Ashro_linux.sh

执行后生成目录/tmp/Ashro_时间戳/,包含以下内容:

| 文件/目录 | 说明 | | — | — | | danger_file.txt | 高危检测结果汇总 | | Ashro_checkresult.txt | 完整执行日志 | | check_file/ | MD5校验文件与命令篡改结果 | | webshell/ | 进程可执行文件备份 | | log/ | 打包的系统日志 |

应急排查命令示例

本公众号非项目作者,仅做技术分享。

本文介绍的项目开源地址如下:

bashhttps://github.com/Ashro-one/Ashro_linux

广告时间

低价考证包括但不限于CISP系列、PMP等等国内网安证书、网络安全交流群请关注公众号后点菜单栏的找棉花糖。

糖心会员站,网络安全必备网站,包括在线内网靶场、web靶场、src靶场、应急响应靶场,以及各种网安资料、教程、方案模版、以及超级多在线工具,99元包年!详细介绍:棉花糖会员站介绍(26年4月26日版本) :在线内网靶场、网安资料方案、在线工具全能资源站,看完介绍百分百心动!


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:棉花糖网络安全工具箱 棉花糖糖糖 棉花糖糖糖《Linux安全检查与应急响应一键脚本:这款工具让运维工程师彻底告别手动排查时代》

    评论:0   参与:  0