#fork变化
添加自动执行脚本,需依赖crond执行
自动执行后的日志文件设定大小上限,避免磁盘写满
#用法
将autoExeWhoamifuck文件放入"/etc/cron.hourly",执行"chmod 755 autoExeWhoamifuck"命令,最后执行"mkdir /var/log/whoamifuck"命令
this autoExeWhoamifuck file need into "/etc/cron.hourly" and execute "chmod 755 autoExeWhoamifuck", last execute "mkdir /var/log/whoamifuck"
#auto execute script TODO
本程序还需依赖crond执行,后续可将其优化为独立进程
#main program TODO
主程序“whoamifuck”可编写超过阈值自动告警程序,帮助运维人员更方便发现问题
当前基于系统日志判断,可根据规则进行基线核查
RHEL 8不再支持pam_tally2,故pam_tally2.so文件缺失,可更换为pam_faillock.so
中文 | English
Whoamifuck(司稽,先秦时抓小偷滴官员),永恒之锋发布的第一款开源工具,这是一款由shell编写的检测入侵用户的工具,经过功能的更新,已经不仅限于检查用户的登入信息。
该工具目前实现的功能基本满足了应急响应的基本需求,后续将加入更多的入侵检测点,并完善代码。如有新的功能建议,可提issue,欢迎关注永恒之锋战队公众号。
为什么不使用python,因为python依赖多,版本差异大,shell原生支持,除个别少数shell语法不同,大部分unix,linux基本都支持bash shell。
- 2021年2月8日 发布whoamifuck2。
- 2021年6月3日 优化格式,加入用户基本信息。
- 2021年6月6日 发布3.0版本
- | ...
- 2022年6月3日 增加新功能,加入应急响应基础功能,如查看用户、服务、文件修改、历史命令等等。
- 2022年6月6日 发布4.0版本
- | ...
- 2023年6月3日 增加新功能,加入开放端口、优化服务器状态、查看僵尸进程、优化用户状态等。
- 2023年6月6日 发布5.0版本
- | ...
- 2024年某月某日 敬请期待 ...
- 系统版本信息
- 历史命令信息
- 开启服务信息
- 进程分析信息
- 用户信息排查
- 文件状态信息
- 计划任务信息
- 开启端口信息
- 系统状态监控
- 分析web日志
- 内存马查杀
- 挖矿病毒查杀
- 后门文件查杀
- 僵尸进程清理
- 开机自启动项
- 攻击痕迹发现
- 生成多格式报告 -> 客户看了直说好
git clone https://github.com/enomothem/Whoamifuck.git
cd Whoamifuck
chmod +x whoamifuck.sh
usage:
-v --version 版本信息
-h --help 帮助指南
-l --login [FILEPATH] 用户登录信息
-n --nomal 基本输出模式
-a --all 全量输出模式
-u --user-device 查看设备基本信息
-x --process-and-servic 检查用户进程与开启服务状态
-p --port 查看端口开放状态
-s --os-status 查看系统状态信息
-o --output 导出全量输出模式文件
使用 -l 参数显示系统的用户登录信息。
该参数取代之前-f参数,对比-f,优化了以下功能:
- 首先判断是否存在文件参数,能够在当前系统分析不同系统的文件类型。如用户指定了具体的文件路径,那么将分析文件名是auth.log还是secure,请注意从其它系统导出的日志文件名是否正确。
- 用户没有指定具体的文件,那么会判断操作系统是红帽系还是debian系,如果是红帽系的系统则使用secure默认路径,debian系列则使用auth.log文件默认路径。
- 如果用户没有指定具体的文件,系统也没有识别正确,如遇到阉割版的操作系统,则默认使用红帽系列的判断方法执行,则可指定具体文件的方法。
./whoamifuck -l
会列举出攻击次数的攻击者枚举的用户名、攻击者IP TOP10、成功登录的IP地址和对用户名进行爆破的次数
相比之前,优化了一些信息的突出,更加美观,增加了虚拟机判断,时间戳,用于取证中进行定位时间线和设备类型。
./whoamifuck -u
该程序需要root权限才能获取较为完整的信息,否则会发生一些未预期的错误,所以增加了对root的判断,保证程序的可用性。
