工具：Linux 应急检测脚本

接上篇，linux检测系统是否被入侵（完整篇）_锅锅聊软测的博客-CSDN博客查找远程可以登录的账户$1：MD5（长度 22个字符）$5：SHA-256（长度 43 个字符）$6：SHA-512（长度86 个字符）检查sudo权限删除或锁定账号查看当前登录系统的信息检查异常端口抓包分析使用ps命令检查可疑的进程查超系统中占用资源最高的资源发现异常进一步检查检查系统服务检查开机自启的服务检查启动项脚本检查计划任务检查系统的异常https://blog.csdn.net/weixin_68548441/article/details/125405900?spm=1001.2014.3001.5501有粉丝说可以写个“自动检测的脚本或是工具”，马上安排。

喘口气，介绍一个Linux下的应急响应检测工具，感觉还不错吧；其实，Linux下的应急响应检测工具，以前推荐过GScan，一个非常棒的工具

这个不同于GScan，因为GScan是基于CheckList的；虽然没有，但它有自己的特色，常规检测很详细，尤其是针对一些挖矿类Miner程序的检测。我们知道一些挖矿程序的特征：“CPU 占用非常高、在 /var/spool/crontab 有定时脚本”，脚本工具中有针对性地进行了检测，列举部分如下：

echo ------------5.2占用CPU前5进程-----------------

echo "正在检查占用CPU前5资源的进程....." | $saveresult

(echo "占用CPU资源前5进程：" && ps -aux | sort -nr -k 3 | head -5) | $saveresult

printf "\n" | $saveresult

echo ------------5.3占用CPU较大进程-----------------

echo "正在检查占用CPU较大的进程....." | $saveresult

pscpu=$(ps -aux | sort -nr -k 3 | head -5 | awk '{if($3>=20) print $0}')

if [ -n "$pscpu" ];then

echo "[!!!]以下进程占用的CPU超过20%:" && echo "UID PID PPID C STIME TTY TIME CMD"

echo "$pscpu" | tee -a 20_pscpu.txt | tee -a $danger_file | $saveresult

else

echo "[*]未发现进程占用资源超过20%" | $saveresult

fi

printf "\n" | $saveresult

 

一、脚本运行

要有执行权限：sudo chmod +x info.sh

执行：sudo ./info.sh

二、运行时报错的解决方法

解决办法如下：

三、执行

展示效果如下，只截部分：

我们罗列出该脚本的功能看看，

四、结果

执行完成后，会在 /tmp下生成一个以“buying_”开头的文件夹，

都是刚才检测的结果，方便我们查看。