Linux安全检测工具--运行即可抓到多数僵尸程序

摘要
随着网络攻击的日益放肆，Linux 系统的安全性面对着严肃的挑战。为了及时发现和防范安全威胁，许多 Linux 安全检测工具应运而生。本文将详细先容作者开发的 Linux 安全检测工具的功能，包括进程分析、网络分析、日志分析、文件分析、利用现有检测工具、容器分析、数据库分析、环境变量分析、启动脚本分析、启动服务分析、账号密码设置分析、账号权限设置分析、预加载库/动态链接器/动态链接库分析、内核模块分析、敏感目录下非常文件分析等，资助用户更好地相识和选择合适的 Linux 安全检测工具。
1. 进程分析
进程分析是 Linux 安全检测工具的焦点功能之一，重要用于检测系统中是否存在可疑或恶意的进程。重要分析方法包括：

• 高 CPU/MEM 占用检测: 检测系统中 CPU 或内存占用率非常的进程，这些进程可能存在性能问题或被恶意软件利用。
  
• 伪装内核进程检测: 检测系统中伪装成内核进程的可疑进程，这些进程可能试图隐藏其真实身份。
  
• 隐藏路径进程检测: 检测系统中启动路径包含隐藏字符（如点号）的可疑进程，这些进程可能试图隐藏其启动位置。
  
• 随机进程名检测: 检测系统中进程名包含随机字符串的可疑进程，这些进程可能试图隐藏其真实目的。
  
• 带特征字符串进程检测: 检测系统中进程名或启动参数包含特定特征字符串（如 “scan”、“payload” 等）的可疑进程，这些进程可能涉及恶意举动。
  
• 带恶意域名进程检测: 检测系统中进程连接到已知恶意域名或 IP 地址的可疑进程，这些进程可能试图与远程服务器通信或下载恶意软件。
  
• 带可疑路径进程检测: 检测系统中进程启动路径包含特定可疑目录（如 “/tmp”、" /var/tmp/" 等）的可疑进程，这些进程可能试图在系统临时目录中实行恶意操作。
  
• 带删除标识进程检测: 检测系统中进程关联的文件已被删除但进程仍在运行的非常环境，这可能是恶意软件为了隐藏自身而采取的本事。
  
• memfd 无文件进程检测: 检测系统中利用 memfd 文件系统创建的无文件进程，这些进程可能试图隐藏其代码和数据。
  
• 隐藏进程检测: 检测系统中在 /proc 目录下找不到对应进程信息的隐藏进程，这些进程可能利用 Rootkit 等恶意软件进行隐藏。
  
• 非常启动用户检测: 检测系统中由非正常用户（如 “postgres”、“portalnav” 等）启动的可疑进程，这些进程可能被用于实行恶意操作。
  
• 提权进程检测: 检测系统中以 root 权限运行的进程，这些进程可能存在安全隐患或被恶意软件利用。
  
• 非常 shell 实行进程检测: 检测系统中利用非标准 shell（如 tcsh）实行的可疑进程，这些进程可能试图绕过安全限定。
  
• 进程名伪造检测: 检测系统中进程名与实际实行程序不匹配的进程，这些进程可能被用于隐藏其真实目的。
  
• 审计追踪非常举动检测: 通过审计系统调用来检测进程的非常举动，例如非法访问文件、创建隐藏进程等。
  
• function check_process() {
      echo "Checking for suspicious processes..."
      # 高 CPU/MEM 占用检测
      high_mem_cpu_processes=$(ps -aux --sort=-%mem | awk '{if($4 > 80 || $3 > 80) print$0}')
      if [[ -n $high_mem_cpu_processes ]]; then
          echo "High mem/cpu占用进程：$high_mem_cpu_processes"
      fi
      # 伪装内核进程检测
      ps_output=$(ps -ef | awk '{if($2!="2"&&$3!="2"&&$NF~/^\[.*\]/)print$0}')
      if [[ -n $ps_output ]]; then
          echo "Suspicious process pretending to be a kernel process detected: $ps_output"
      fi
      # 带隐藏路径进程检测
      hidden_path_output=$(ps -ef | awk '{if($0~/(\/| )\./)print$0}')
      if [[ -n $hidden_path_output ]]; then
          echo "rocess with hidden path detected: $hidden_path_output"
      fi
      # ... 其他进程分析代码 ...
  }
   
  

2. 网络分析
网络分析重要用于检测系统中是否存在可疑的网络连接和举动，重要分析方法包括：

• 非常 SYN_SENT 数据包检测: 检测系统中大量发送 SYN_SENT 数据包的进程，这些进程可能进行端口扫描或分布式拒绝服务攻击 (DDoS)。
  
• 会话连接数非常检测: 检测系统中单个进程或用户创建的会话连接数非常的环境，这可能是恶意软件进行横向移动或数据盗取的迹象。
  
• 不同程序共用相同套接字检测: 检测系统中不同进程利用相同套接字的环境，这可能是恶意软件绕过安全限定的本事。
  
• 非常远程服务连接检测: 检测系统中进程连接到非正常远程服务的可疑环境，这些进程可能被用于实行恶意操作或下载恶意软件。
  
• 非常 rawsocket 发包进程检测: 检测系统中利用 rawsocket 发送数据包的可疑进程，这些进程可能进行网络攻击或绕过防火墙。
  
• 孤岛外连检测: 检测系统中单个进程创建的孤立外连环境，这可能是恶意软件进行隐蔽通信的迹象。
  
• 外连 IP 域名命中威胁情报检测: 检测系统中进程连接到已知恶意 IP 地址或域名的可疑环境，这些进程可能被用于实行恶意操作或下载恶意软件。
  
• dns 解析域名命中威胁情报检测: 检测系统中 DNS 解析请求指向已知恶意域名的可疑环境，这些进程可能被用于实行恶意操作或下载恶意软件。
  
• 查看组件监听端口定位入侵点: 检测系统中组件监听的端口，这些端口可能被用于攻击或入侵系统。
  
• tcpdump 抓包分析: 利用 tcpdump 工具捕获网络数据包并进行分析，例如检测非常流量、恶意协议等。
  
• audit 审计 connect 系统调用: 通过审计 connect 系统调用来检测进程的网络连接举动，例如检测非常端口连接、域名解析等。 function check_network() {
      echo "Checking network connections..."
      # 非常 SYN_SENT 数据包检测
      syn_sent_packets=$(netstat -an | grep SYN_SENT | grep -v "127.0.0.1" | more)
      if [[ -n $syn_sent_packets ]]; then
          echo "Abnormal SYN_SENT packets detected: $syn_sent_packets"
      fi
      # 会话连接数非常检测
      abnormal_connections=$(netstat -an | awk '{print$6}' | sort | uniq -c | awk '$1 > 10 {print$0}' | more)
      if [[ -n $abnormal_connections ]]; then
          echo "Abnormal number of session connections detected: $abnormal_connections"
      fi
      # ... 其他网络分析代码 ...
  }
   
  

3. 日志分析
日志分析重要用于检测系统中是否存在可疑的日志记录和举动，重要分析方法包括：

• 常见安全相干关键字检测: 检测系统中日志文件中是否包含 “failed password”、“authentication failure” 等常见安全相干关键字，这些关键字可能指示系统受到攻击或存在安全漏洞。
  
• bash 操作日志检测: 检测系统中 bash 下令操作日志，这些日志可能包含恶意下令或可疑举动。
  
• 定时使命日志检测: 检测系统中定时使命日志，这些日志可能包含恶意定时使命或可疑举动。
  
• 用户登录信息检测: 检测系统中用户登录日志，这些日志可能包含非法登录实验或可疑用户举动。
  
• 密码修改信息检测: 检测系统中密码修改日志，这些日志可能包含密码泄漏或被篡改的环境。
  
• secure 日志检测: 检测系统中 secure 日志，这些日志可能包含系统安全变乱记录。
  
• dmesg 日志检测: 检测系统中 dmesg 日志，这些日志可能包含系统硬件或驱动程序错误信息。
  
• 组件日志检测: 检测系统中应用程序或服务组件日志，这些日志可能包含错误或非常举动信息。
  
• 已安装安全检测工具日志检测: 检测系统中已安装安全检测工具的日志，这些日志可能包含安全警报或检测结果。
  
• 数据库操作日志检测: 检测系统中数据库操作日志，这些日志可能包含 SQL 注入或数据泄漏环境。
  
• 堡垒机操作日志检测: 检测系统中堡垒机操作日志，这些日志可能包含非法登录实验或可疑用户举动。
  
• 防火墙日志检测: 检测系统中防火墙日志，这些日志可能包含网络攻击或入侵实验信息。
  
• 网络流量日志检测: 检测系统中网络流量日志，这些日志可能包含非常流量或恶意举动信息。
  
• audit 审计日志检测: 检测系统中 audit 审计日志，这些日志可能包含系统安全变乱记录。
  
• 容器日志检测: 检测系统中容器日志，这些日志可能包含容器内部安全变乱或非常举动信息。
  
• function check_logs() {
      echo "Checking system and application logs..."
      # bash 操作日志检测
      bash_logs=$(grep -E "bash" /var/log/* | more)
      if [[ -n $bash_logs ]]; then
          echo "Bash operation logs detected: $bash_logs"
      fi
      # 定时使命日志检测
      cron_logs=$(grep -E "cron" /var/log/* | more)
      if [[ -n $cron_logs ]]; then
          echo "Cron task logs detected: $cron_logs"
      fi
      # ... 其他日志分析代码 ...
  }
   
  

4. 文件分析
文件分析重要用于检测系统中是否存在可疑的文件或目录，重要分析方法包括：

• 高 CPU/MEM 占用文件检测: 检测系统中占用大量 CPU 或内存的文件，这些文件可能存在性能问题或被恶意软件利用。
  
• 伪装内核文件检测: 检测系统中伪装成内核文件的恶意文件，这些文件可能试图隐藏其真实身份。
  
• 隐藏路径文件检测: 检测系统中路径包含隐藏字符（如点号）的可疑文件，这些文件可能试图隐藏其位置。
  
• 随机文件名检测: 检测系统中文件名包含随机字符串的可疑文件，这些文件可能试图隐藏其真实目的。
  
• 带特征字符串文件检测: 检测系统中文件内容包含特定特征字符串（如 “scan”、“payload” 等）的可疑文件，这些文件可能涉及恶意举动。
  
• 带恶意域名文件检测: 检测系统中文件内容包含已知恶意域名或 IP 地址的可疑文件，这些文件可能被用于与远程服务器通信或下载恶意软件。
  
• 带可疑路径文件检测: 检测系统中文件路径包含特定可疑目录（如 “/tmp”、" /var/tmp/" 等）的可疑文件，这些文件可能试图在系统临时目录中实行恶意操作。
  
• 样本分析: 对可疑文件进行内存转储、字符串分析、脱壳和反编译等操作，以提取文件特征和功能信息。
  
• 利用现有检测工具: 利用现有的恶意软件检测工具和规则对可疑文件进行扫描和分析。
  

5. 其他功能
除了上述功能外，一些 Linux 安全检测工具还提供以下功能：

• 容器分析: 检测容器镜像和容器内部是否存在恶意文件或设置。
  
• 数据库分析: 检测数据库目录下是否存在加密文件或可疑操作。
  
• 环境变量分析: 检测环境变量中是否存在恶意或可疑的值，例如路径篡改、注入恶意代码等。
  
• 启动脚本分析: 检测系统启动脚本中是否存在恶意或可疑的下令或脚本，例如启动恶意程序、修改系统设置等。
  
• 启动服务分析: 检测系统启动服务中是否存在恶意或可疑的服务，例如监听非法端口、实行恶意操作等。
  
• 账号密码设置分析: 检测账号密码设置文件中是否存在恶意或可疑的设置，例如弱密码、默认密码、非常用户权限等。
  
• 账号权限设置分析: 检测账号权限设置文件中是否存在恶意或可疑的设置，例如过度授权、非常用户组等。
  
• 预加载库/动态链接器/动态链接库分析: 检测系统预加载库、动态链接器和动态链接库中是否存在恶意或可疑的库，例如注入恶意代码、修改系统函数等。
  
• 内核模块分析: 检测系统中加载的内核模块中是否存在恶意或可疑的模块，例如 Rootkit、木马等。
  
• 敏感目录下非常文件分析: 检测系统敏感目录（如 /etc、/bin、/sbin 等）下是否存在恶意或可疑的文件或目录，例如隐藏文件、非常脚本、临时文件等。
  

6. 选择合适的 Linux 安全检测工具
选择合适的 Linux 安全检测工具需要考虑以下因素：

• 功能需求: 根据系统的安全需求选择功能全面或专注于特定安全范畴的工具。
  
• 性能影响: 选择性能开销较小的工具，避免对系统正常运行造成影响。
  
• 易用性: 选择操作简单、易于理解的工具，方便用户利用和管理。
  
• 更新频率: 选择更新频率较高的工具，及时获取最新的安全威胁信息和检测规则。
  
• 社区支持: 选择社区活跃、支持美满的工具，方便获取资助息争决利用过程中碰到的问题。
  

7. 总结
Linux 安全检测工具是保障 Linux 系统安全的重要工具，作者的脚本可以资助用户及时发现和防范安全威胁。运行可发现绝大多数系统被入侵的迹象和僵尸恶意程序， 选择该工具并公道利用，可以有效提拔 Linux 系统的安全性。有兴趣的网络安全工程师可以留言评论。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。