Linux应急处置/信しん息いき搜さがせ集しゅう/漏も洞ほら检测工具こうぐ，支持しじ基もと础配置はいち/网络流量りゅうりょう/任にん务计划/环境变量/用よう户信息いき/Services/bash/恶意文ぶん件けん/内うち核かくRootkit/SSH/Webshell/挖矿文ぶん件けん/挖矿进程/供きょう应链/服ふく务器风险等とう13类70+项检查

更新こうしん日び志こころざし：2024年ねん4月がつ20日はつか

• 调整输出为Markdown报告
• 弃用ag，还是使用しようLinux原生げんせい的てきgrep命令めいれい，避免额外安あん装そう
• 优化代だい码格式しき，不在ふざい每ごと条じょう都と要ようtee -a
• 更新こうしんWebshell检测逻辑
• 更新こうしんauthorized_keys检测逻辑
• 服ふく务器风险检查添加てんかJDWP和わPython HTTP Server检查
• 添加てんかDocker 容器ようき检测
• 添加てんかPAM后きさき门检测
• 添加てんか本地ほんじ报告上じょう传能力りょく，应对批量机つくえ器き应急的てき情じょう况。

更新こうしん日び志こころざし：2022年ねん08月がつ05日にち

• 修おさむ复内核かく模も块检查日志こころざし过多问题

更新こうしん日び志こころざし：2022年ねん03月がつ07日にち

• 添加てんかSSH软连接せっ后きさき门检测

更新こうしん日び期き：2021年ねん10月がつ17日にち

• 添加てんかNtpclient/WorkMiner/TeamTNT挖矿木き马检测
• 添加てんかRootkit模も块检测逻辑
• 添加てんかPython pip投とう毒どく检测
• 添加てんか$HOME/.profile查看
• 添加てんか服ふく务器风险检查(Redis)

• 基もと础配置はいち检查
  • 系けい统配置はいち改あらため动检查
  • 系けい统信息いき（IP地ち址し/用よう户/开机时间/系けい统版本はんぽん/Hostname/服ふく务器SN）
  • CPU使用しよう率りつ
  • 登とう录用户信息いき
  • CPU TOP 15
  • 内うち存そん TOP 15
  • 磁盘剩余じょうよ空そら间检查
  • 硬かた盘挂载
  • 常用じょうよう软件检查
  • /etc/hots
• 网络/流量りゅうりょう检查
  • ifconfig
  • 网络流量りゅうりょう
  • 端はし口こう监听
  • 对外开放端はし口こう
  • 网络连接
  • TCP连接状じょう态
  • 路みち由よし表ひょう
  • 路みち由よし转发
  • DNS Server
  • ARP
  • 网卡混こん杂模式しき检查
  • iptables 防火ぼうか墙
• 任にん务计划检查
  • 当とう前まえ用よう户任务计划
  • /etc/系けい统任务计划
  • 任にん务计划文件けん创建时间
  • crontab 后きさき门排查
• 环境变量检查
  • env
  • path
  • LD_PRELOAD
  • LD_ELF_PRELOAD
  • LD_AOUT_PRELOAD
  • PROMPT_COMMAND
  • LD_LIBRARY_PATH
  • ld.so.preload
• 用よう户信息いき检查
  • 可か登とう陆用户
  • passwd文ぶん件けん修おさむ改あらため日び期き
  • sudoers
  • 登とう录信息いき（w/last/lastlog）
  • 历史登とう陆ip
• Services 检查
  • SystemD运行服ふく务
  • SystemD服ふく务创建けん时间
• bash检查
  • History
  • History命令めいれい审计
  • /etc/profile
  • $HOME/.profile
  • /etc/rc.local
  • ~/.bash_profile
  • ~/.bashrc
  • bash反はん弹shell
• 文ぶん件けん检查
  • ...隐藏文ぶん件けん
  • 系けい统文件けん修おさむ改あらため时间检测
  • 临时文ぶん件けん检查（/tmp /var/tmp /dev/shm）
  • alias
  • suid特殊とくしゅ权限检查
  • 进程存在そんざい文ぶん件けん未み找到
  • 近きん七天文件改动 mtime
  • 近きん七天文件改动 ctime
  • 大だい文ぶん件けん>200mb
  • 敏感びんかん文ぶん件けん审计（nmap/sqlmap/ew/frp/nps等とう黑くろ客きゃく常用じょうよう工具こうぐ）
  • 可か疑うたぐ黑くろ客きゃく文ぶん件けん（黑くろ客きゃく上じょう传的wget/curl等とう程ほど序じょ，或ある者もの将はた恶意程ほど序じょ改あらため成なり正常せいじょう软件例れい如nps文ぶん件けん改あらため为mysql）
• 内うち核かくRootkit 检查
  • lsmod 可か疑うたぐ模も块
  • 内うち核かく符号ふごう表ひょう检查
  • rootkit hunter 检查
  • rootkit .ko模も块检查
• SSH检查
  • SSH 爆破ばくは
  • SSHD 检测
  • SSH 后きさき门配置はいち
  • SSH inetd后きさき门检查
  • SSH key
• Webshell 检查
  • php webshell检查
  • jsp webshell检查
• 挖矿文ぶん件けん/进程检查
  • 挖矿文ぶん件けん检查
  • 挖矿进程检查
  • WorkMiner检测
  • Ntpclient检测
• 供きょう应链投とう毒どく检查
  • Python PIP 投とう毒どく检查
• 服ふく务器风险检查
  • Redis弱じゃく密みつ码检测
  • JDWP 服ふく务检测
  • Python http.server 检测
• Docker 权限检查

第だい一いち种方式しき：通つう过git clone 安あん装そう

git clone https://github.com/al0ne/LinuxCheck.git
chmod u+x LinuxCheck.sh
./LinuxCheck.sh  

第だい二に种方式しき：直接ちょくせつ在ざい线调用よう【在ざい线调用よう就没办法使用しよう报告上じょう传的能力のうりょく】

bash -c "$(curl -sSL https://raw.githubusercontent.com/al0ne/LinuxCheck/master/LinuxCheck.sh)"  

文ぶん件けん会かい保存ほぞん成なりipaddr_hostname_username_timestamp.log 这种格式かくしき

如果是ぜ批量机つくえ器き下か发，脚本きゃくほん执行后きさき会かい自じ动提交到某ぼう一いち个url下か，将はた脚本きゃくほん里さと面めん的てきwebhook_url 改あらため成なり你自己じこ的てき地ち址し

# 报告上じょう报的地ち址し
webhook_url='http://localhost:5000/upload'

upload_report() {

  # 上うえ传到指定してい接せっ口こう
  if [[ -n $webhook_url ]]; then
    curl -X POST -F "file=@$filename" "$webhook_url"
  fi

}

在ざい你的服ふく务器上うえ用ようFlask起おこり一いち个服务，接收せっしゅう服ふく务器上じょう报的Markdown报告。

from flask import Flask, request

app = Flask(__name__)

@app.route('/upload', methods=['POST'])
def upload_file():
    if 'file' not in request.files:
        return "No file part", 400
    file = request.files['file']
    if file.filename == '':
        return "No selected file", 400
    if file:
        filename = file.filename
        file.save(filename)
        return "File successfully uploaded", 200

if __name__ == '__main__':
    app.run(debug=True, host="0.0.0.0", port=9999)

此工具ぐ的てき编写主要しゅよう参考さんこう了りょう以下いか几款工具こうぐ/文章ぶんしょう并结合あい个人经验完成かんせい

Linenum https://github.com/lis912/Evaluation_tools
https://ixyzero.com/blog/archives/4.html
https://github.com/T0xst/linux
https://github.com/grayddq/GScan