admin 管理员组

文章数量: 1184232

项目地址: https://github/grayddq/GScan

一、GScan简单介绍

GScan 旨在为安全应急响应人员对 Linux 系统排查时提供便利,实现主机侧 Checklist(检查表) 的自动全面化检测,根据检测结果自动数据聚合,进行黑客攻击路径溯源。

二、GScan检查项

自动化程序的CheckList项如下:

1、主机信息获取
2、系统初始化alias检查
3、文件类安全扫描
   3.1、系统重要文件完整行扫描
   3.2、系统可执行文件安全扫描
   3.3、临时目录文件安全扫描
   3.4、用户目录文件扫描
   3.5、可疑隐藏文件扫描
4、各用户历史操作类
   4.1、境外ip操作类
   4.2、反弹shell类
5、进程类安全检测
   5.1、CUP和内存使用异常进程排查
   5.2、隐藏进程安全扫描
   5.3、反弹shell类进程扫描
   5.4、恶意进程信息安全扫描
   5.5、进程对应可执行文件安全扫描
6、网络类安全检测
   6.1、境外IP链接扫描
   6.2、恶意特征链接扫描
   6.3、网卡混杂模式检测
7、后门类检测
   7.1、LD_PRELOAD后门检测
   7.2、LD_AOUT_PRELOAD后门检测
   7.3、LD_ELF_PRELOAD后门检测
   7.4、LD_LIBRARY_PATH后门检测
   7.5、ld.so.preload后门检测
   7.6、PROMPT_COMMAND后门检测
   7.7、Cron后门检测
   7.8、Alias后门
   7.9、SSH 后门检测
   7.10、SSH wrapper 后门检测
   7.11、inetd.conf 后门检测
   7.12、xinetd.conf 后门检测
   7.13、setUID 后门检测
   7.14、8种系统启动项后门检测
8、账户类安全排查
   8.1、root权限账户检测
   8.2、空口

本文标签: 检测工具 教程 系统 Linux GScan

版权声明:本文标题:Linux系统 应急响应自动化检测工具 GScan ——使用教程 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/b/1766140666a3441061.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。