应急响应|Linux通用应急响应脚本

1.必须root权限运行2.收集IP地址信息3.查看正在登录的用户4.查看/etc/passwd5.检查是否存在超级用户6.空口令账户检测7.新增用户检查8.新增用户组检查9.检测sudoers文件中的用户权限10.使用 visudo 命令查找具有 NOPASSWD 权限的用户11.检查各账户下是否存在ssh登录公钥12.账户密码文件权限检测13.暴力破解攻击检测14.查询正在监听的端口15.检查建立的网络连接16.检查是否存在系统进程17.检测存在那些守护进程18.CPU和内存使用率最高的进程排查（超过20%）19.检查是否存在隐藏进程20.检查反弹shell类进程21.将进程对应的可执行文件保存到指定目录--webshell--沙箱检测22.系统命令hash值打包---威胁情报MD5对比23.检查正在运行的服务24.检查系统文件的权限变更（一周内）25.收集历史命令26.用户自定义启动项排查27.系统自启动项排查28.危险启动项排查29.系统定时任务分析30.用户定时任务分析31.检查最近24小时内有改变的文件（误报会很多）32.cpu情况分析（占用前5）33.日志分析34.日志审核是否开启35.打包日志（/var/log/*）全打包36.secure日志分析（登录成功。登录失败，新增用户组）37.message日志分析（传输文件情况）38.cron日志分析（定时下载、定时执行）39.btmp日志分析（错误登录日志）40.lastlog日志分析（最后一次登录日志）41.wtmp日志分析(历史登录本机用户)42.Alias 后门检测43.SSH 后门检测44.SSH Wrapper 后门检测45.检查 SSH 授权密钥文件是否包含可疑命令46.检查特定目录中是否存在可疑文件47.检查系统日志中是否包含可疑内容48.防火墙配置检测