Linux应急响应脚本–Ashro_linux

admin
admin
admin
0
文章
0
评论
2026-04-13 04:02:21 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Ashro_linux是一款开源Linux应急响应脚本,需root权限运行,提供48项安全检查功能包括账户安全审计、进程分析、日志审查、后门检测等。脚本自动生成检测报告、打包系统日志并支持威胁情报比对,作者强调仅用于学术研究且禁止未授权使用。 综合评分: 86 文章分类: 应急响应,安全工具,漏洞分析,安全运营,恶意软件

cover_image

Linux应急响应脚本–Ashro_linux

原创

一个努力的学渣 一个努力的学渣

一个努力的学渣

2026年4月11日 10:00 北京

在小说阅读器读本章

去阅读

免责声明

本文只做学术研究使用,不可对真实未授权网站使用,如若非法他用,与平台和本文作者无关,需自行负责!

前言

已涉及的工具:

  • Linux应急响应综合工具–LinIR
  • Linux应急响应综合工具–Linux_safescan
  • Linux应急响应综合工具–LovelyERes
  • Golin:Windows应急响应综合工具

已涉及的脚本:

  • Linux应急响应脚本–Whoamifuck
  • Ashro_linux

项目

  • 项目地址:https://github.com/Ashro-one/Ashro_linux

详细功能

1.必须root权限运行 2.收集IP地址信息 3.查看正在登录的用户 4.查看/etc/passwd 5.检查是否存在超级用户 6.空口令账户检测 7.新增用户检查 8.新增用户组检查 9.检测sudoers文件中的用户权限 10.使用 visudo 命令查找具有 NOPASSWD 权限的用户 11.检查各账户下是否存在ssh登录公钥 12.账户密码文件权限检测 13.暴力破解攻击检测 14.查询正在监听的端口 15.检查建立的网络连接

  1. 检查是否存在系统进程 17.检测存在那些守护进程 18.CPU和内存使用率最高的进程排查(超过20%) 19.检查是否存在隐藏进程 20.检查反弹壳类进程 21.将进程对应的可执行文件保存到指定目录–webshell–沙箱检测 22.系统命令hash值打包—威胁情报MD5对比 23.检查正在运行的服务 24.检查系统文件的权限变更(一周内) 25.收集历史命令 26.用户自定义启动项排查 27.系统自启动项排查 28.启动危险项排查 29.系统定时任务分析 30.用户定时任务分析 31.检查最近24小时内有改变的文件(误报会很多) 32.cpu情况分析(占用前5) 33.日志分析 34.日志审核是否开启 35.打包日志(/var/log/*)全打包 36.安全日志分析(登录成功。登录失败,新增用户组) 37.message日志分析(传输文件情况) 38.cron日志分析(定时下载、定时执行) 39.btmp日志分析(错误登录日志) 40.lastlog日志分析(最后一次登录日志) 41.wtmp日志分析(历史登录本机用户) 42.Alias 后门检测 43.SSH 后门检测 44.SSH Wrapper 后门检测 45.检查 SSH 授权密钥文件是否包含可疑命令 46.检查特定目录中是否存在可疑文件 47.检查系统日志中是否包含可疑内容 48.防火墙配置检测

使用

  • 加执行权限,然后直接运行Ashro_linux.sh文件即可

  • 命令结果:/tmp/Ashro_时间

  • check_file文件夹:检查命令篡改

  • weibu_md5.py:通过脚本获取系统上的命令配置文件的MD5值到check_file/*.csv文件中,进行微步的威胁情报查询,需要配置脚本中的自己api。脚本执行后会在当前目录生成结果文件。是否命令篡改结果一目了然(key收费)
  • danger_file.txt:脚本执行后的高危结果,需要经验分析,不要一股脑就认为风险项

  • log文件夹:

  • system_log.zip:/var/log/*文件夹内容打包的压缩包

  • Ashro_checkresult.txt:脚本执行过程日志,这个比较友好可以从这里分析

  • webshell文件夹:检查可执行文件后门 执行脚本后会将当前系统中正在进行的进程其涉及到的可执行文件cp下来。dump下来沙箱检测即可

进阶

  • 漏扫工具被截留到服务器上时候,还定位不到攻击者遗留的工具时

  • 例如ips上出现横向攻击10.16.5.134 时,可以执行如下命令

  • 他会查找全系统文件内容中的可能存在漏洞结果的文件位置

  • find / -type f -exec grep -l “10.16.5.134” {} \;

  • 常用手敲命令快速盘点文件:

  • 小技巧:Linux部分可结合Whoamifuck项目脚本的自定义命令配置检测参数,不用手敲直接一步出来(可借助AI把文件的内容改为Whoamifuck项目脚本的格式)

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:一个努力的学渣 一个努力的学渣 一个努力的学渣《Linux应急响应脚本–Ashro_linux》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0