Linux通用应急响应脚本（非常详细）零基础入门到精通，收藏这一篇就够了

Linux通用应急响应脚本零基础入门

最新推荐文章于 2025-12-05 18:17:15 发布

原创最新推荐文章于 2025-12-05 18:17:15 发布 · 918 阅读

14 ·

CC 4.0 BY-SA版权

文章标签：

#linux #服务器 #运维 #php #web安全 #开发语言 #安全

程序员同时被 3 个专栏收录

3079 篇文章

订阅专栏

计算机工具

1670 篇文章

订阅专栏

编程

829 篇文章

订阅专栏

Linux通用应急响应脚本

介绍

Linux通用应急响应脚本，适用大多数情况

目前在ubuntu、centos7、kali上均可以正常运行。其他未实验可以提供报错，针对修改。

脚本执行后生成的文件解释：danger_file.txt 脚本执行后的高危结果，对付看，结果需要经验分析，不要一股脑就认为风险项。

check_file文件夹–检查命令篡改 weibu_md5.py 通过脚本获取系统上的命令配置文件的MD5值到check_file/*.csv文件中，进行微步的威胁情报查询，需要配置脚本中的自己api。脚本执行后会在当前目录生成结果文件。是否命令篡改结果一目了然。

webshell文件夹–检查可执行文件后门执行脚本后会将当前系统中正在进行的进程其涉及到的可执行文件cp下来。dump下来沙箱检测即可。

log文件夹–会将/var/log/*文件夹内容打包成压缩包 Ashro_checkresult.txt 结尾的是脚本执行过程日志，这个比较友好可以从这里分析

详细功能介绍

1.必须root权限运行
2.收集IP地址信息
3.查看正在登录的用户
4.查看/etc/passwd
5.检查是否存在超级用户
6.空口令账户检测
7.新增用户检查
8.新增用户组检查
9.检测sudoers文件中的用户权限
10.使用 visudo 命令查找具有 NOPASSWD 权限的用户
11.检查各账户下是否存在ssh登录公钥
12.账户密码文件权限检测
13.暴力破解攻击检测
14.查询正在监听的端口
15.检查建立的网络连接
16.检查是否存在系统进程
17.检测存在那些守护进程
18.CPU和内存使用率最高的进程排查（超过20%）
19.检查是否存在隐藏进程
20.检查反弹shell类进程
21.将进程对应的可执行文件保存到指定目录–webshell–沙箱检测
22.系统命令hash值打包—威胁情报MD5对比
23.检查正在运行的服务
24.检查系统文件的权限变更（一周内）
25.收集历史命令
26.用户自定义启动项排查
27.系统自启动项排查
28.危险启动项排查
29.系统定时任务分析
30.用户定时任务分析
31.检查最近24小时内有改变的文件（误报会很多）
32.cpu情况分析（占用前5）
33.日志分析
34.日志审核是否开启
35.打包日志（/var/log/*）全打包
36.secure日志分析（登录成功。登录失败，新增用户组）
37.message日志分析（传输文件情况）
38.cron日志分析（定时下载、定时执行）
39.btmp日志分析（错误登录日志）
40.lastlog日志分析（最后一次登录日志）
41.wtmp日志分析(历史登录本机用户)
42.Alias 后门检测
43.SSH 后门检测
44.SSH Wrapper 后门检测
45.检查 SSH 授权密钥文件是否包含可疑命令
46.检查特定目录中是否存在可疑文件
47.检查系统日志中是否包含可疑内容
48.防火墙配置检测