×
618会员大促,站长已经被打骨折了
我也来一脚
忽略

whohk:一款强大的linux应急响应辅助工具

【前言】

在linux下的应急响应往往需要通过繁琐的命令行来查看各个点的情况,有的时候还需要做一些格式处理,这对于linux下命令不是很熟悉的人比较不友好。本工具将linux下应急响应中常用的一些操作给集合了起来,并处理成了较为友好的格式,只需要通过一个参数就能代替繁琐复杂的命令来实现对各个点的检查。


【工具介绍】

whohk:一款强大的linux应急响应辅助工具插图

程序自动获取系统的CPU,内存,磁盘的使用率以及当前在线用户信息。

whohk:一款强大的linux应急响应辅助工具插图1

参数-h 或 --help 获取工具使用说明

whohk:一款强大的linux应急响应辅助工具插图2

参数-user 检查系统账户情况

whohk:一款强大的linux应急响应辅助工具插图3

参数-history 会筛选出所有用户下的可疑历史命令

whohk:一款强大的linux应急响应辅助工具插图4

参数-cron 列出所有用户的定时任务

whohk:一款强大的linux应急响应辅助工具插图5

参数--cron-file 7 列出7天内被修改过的各个级别定时任务目录的脚本,输入参数值为天数,参数为必选。

whohk:一款强大的linux应急响应辅助工具插图6

参数-ip 用于查看进程中对外连接情况

whohk:一款强大的linux应急响应辅助工具插图7

参数--pid 2848 根据进程pid来获取进程物理路径等详细信息,输入参数值为进程的pid,参数为必选。

whohk:一款强大的linux应急响应辅助工具插图8

参数--ssh-fip 查看登录失败的ip以及对应的次数,可用于分析爆破情况

whohk:一款强大的linux应急响应辅助工具插图9

参数--ssh-fuser 查看登录失败的账户名以及对应的次数

whohk:一款强大的linux应急响应辅助工具插图10

参数--ssh-sip 查看登录成功的ip以及对应的次数

whohk:一款强大的linux应急响应辅助工具插图11

参数--ssh-sinfo 查看登录成功的详细记录

whohk:一款强大的linux应急响应辅助工具插图12

参数--starup 7 查看7天内被修改的启动项,输入的参数值为天数,参数为必选

whohk:一款强大的linux应急响应辅助工具插图13

参数--osfile 7 查看7天内被劫持的系统文件,输入的参数值为天数,参数为必选

whohk:一款强大的linux应急响应辅助工具插图14

参数--s-webshell /home 用于检测指定目录下的webshell,输入的参数值为网站绝对路径,参数为必选

whohk:一款强大的linux应急响应辅助工具插图15

参数--s-backdoor /home 用于检测指定目录下的恶意软件,输入的参数值为待检测目录绝对路径,参数为必选


【工具补充说明】

  1. webshell检测和恶意软件检测的规则库采用yara外置规则库,可自己随时更新,本次只放出来一些常见的规则库。
  2. 主程序名为“whohk”的二进制文件,上传后需要chmod +x whohk,加上执行权限。config下是纯真ip位置数据库,更新日期为20200920,也可以自行更新。
  3. 工具不含任何后门,自行选择是否使用。
  4. 工具虽好,但不建议完全依赖于工具,应急场景各种各样都有,工具不一定能够面面俱到,有的时候还是得手工。

相关推荐: 火绒提取版小工具 (单文件 直接运行版)

火绒原版提取 火绒剑独立版见:https://www.cnsrc.org.cn/pcanalysis/68.html

 

相关文件下载地址

该资源需登录后下载

去登录
温馨提示:若该资源侵犯了您的权益,请联系我们处理。
whohk:一款强大的linux应急响应辅助工具
免费资源
立即下载