whohk，一款強(qiáng)大的linux應(yīng)急響應(yīng)輔助工具

【前言】

在linux下的應(yīng)急響應(yīng)往往需要通過繁瑣的命令行來查看各個(gè)點(diǎn)的情況，有的時(shí)候還需要做一些格式處理，這對(duì)于linux下命令不是很熟悉的人比較不友好。本工具將linux下應(yīng)急響應(yīng)中常用的一些操作給集合了起來，并處理成了較為友好的格式，只需要通過一個(gè)參數(shù)就能代替繁瑣復(fù)雜的命令來實(shí)現(xiàn)對(duì)各個(gè)點(diǎn)的檢查。

【工具介紹】

程序自動(dòng)獲取系統(tǒng)的CPU，內(nèi)存，磁盤的使用率以及當(dāng)前在線用戶信息。

參數(shù)-h 或 --help 獲取工具使用說明

參數(shù)-user 檢查系統(tǒng)賬戶情況

參數(shù)-history 會(huì)篩選出所有用戶下的可疑歷史命令

參數(shù)-cron 列出所有用戶的定時(shí)任務(wù)

參數(shù)--cron-file 7 列出7天內(nèi)被修改過的各個(gè)級(jí)別定時(shí)任務(wù)目錄的腳本，輸入?yún)?shù)值為天數(shù)，參數(shù)為必選。

參數(shù)-ip 用于查看進(jìn)程中對(duì)外連接情況

參數(shù)--pid 2848 根據(jù)進(jìn)程pid來獲取進(jìn)程物理路徑等詳細(xì)信息，輸入?yún)?shù)值為進(jìn)程的pid，參數(shù)為必選。

參數(shù)--ssh-fip 查看登錄失敗的ip以及對(duì)應(yīng)的次數(shù)，可用于分析爆破情況

參數(shù)--ssh-fuser 查看登錄失敗的賬戶名以及對(duì)應(yīng)的次數(shù)

參數(shù)--ssh-sip 查看登錄成功的ip以及對(duì)應(yīng)的次數(shù)

參數(shù)--ssh-sinfo 查看登錄成功的詳細(xì)記錄

參數(shù)--starup 7 查看7天內(nèi)被修改的啟動(dòng)項(xiàng)，輸入的參數(shù)值為天數(shù)，參數(shù)為必選

參數(shù)--osfile 7 查看7天內(nèi)被劫持的系統(tǒng)文件，輸入的參數(shù)值為天數(shù)，參數(shù)為必選

參數(shù)--s-webshell /home 用于檢測指定目錄下的webshell，輸入的參數(shù)值為網(wǎng)站絕對(duì)路徑，參數(shù)為必選

參數(shù)--s-backdoor /home 用于檢測指定目錄下的惡意軟件，輸入的參數(shù)值為待檢測目錄絕對(duì)路徑，參數(shù)為必選

【工具補(bǔ)充說明】

1. webshell檢測和惡意軟件檢測的規(guī)則庫采用yara外置規(guī)則庫，可自己隨時(shí)更新，本次只放出來一些常見的規(guī)則庫。

2. 主程序名為“whohk”的二進(jìn)制文件，上傳后需要chmod +x whohk，加上執(zhí)行權(quán)限。config下是純真ip位置數(shù)據(jù)庫，更新日期為20200920，也可以自行更新。

3. 工具不含任何后門，自行選擇是否使用。

4. 自行對(duì)比

   md5：992516c25337663afb0af2b3ace184ab

   SHA1：75e81f0a3502d366d5454ca79642f4652cc97723

   SHA256：ef18c975d970f42e959560ff9718d258316bce8e5295034f987cc40eddf95432

5. v0.1版本可能有些方面沒考慮到，歡迎各位大佬提提意見，本工具會(huì)不斷更新完善。

6. 工具雖好，但不建議完全依賴于工具，應(yīng)急場景各種各樣都有，工具不一定能夠面面俱到，有的時(shí)候還是得手工。
   

【工具獲取】

公眾號(hào)后臺(tái)回復(fù)“whohk”來獲取，也可以加入知識(shí)星球獲取。