Linux下的应急工具

在Linux下,应急的查看点无非那个几个,一是看表现(宕机、高CPU、高内存、高IO、高网络通信),二看连接、三看进程、四看日志、五看文件(Linux一切皆文件),再者结合起来看。所以针对常见的应急操作自己写了两个小工具。目前支持CentOS和RedHat,其实由于基于Python,基本是跨平台,绝大部分功能支持其他发行版本的Linux甚至Windows。

工具的安装

#要求root权限

git clone https://github.com/cisp/LinuxEmergency.git

cd LinuxEmergency

sh ./install.sh

工具的使用

查看操作系统信息:

[root@centos emergency]# python emergency.py -o

        内核版本 : Linux-3.10.0-514.26.2.el7.v7.4.qihoo.x86_64-x86_64-with-centos-7.2.1511-Core

        CORE数量 : 16

        CPU数量 : 16

        CPU使用率 : scputimes(user=1.0, nice=0.0, system=0.0, idle=15.0, iowait=0.0, irq=0.0, softirq=0.0, steal=0.0, guest=0.0, guest_nice=0.0)

        内存总量  : 33736994816

        内存使用率 : 5.1

[root@centos emergency]#

查看内核模块信息:

[root@centos emergency]# python emergency.py -k

内核模块 : nfnetlink_queue  来源  :

内核模块 : nfnetlink_log  来源  :

内核模块 : nfnetlink  来源  :  nfnetlink_log,nfnetlink_queue

内核模块 : bluetooth  来源  :

查看所有登录成功失败的IP地址:

[root@scentos emergency]# python emergency.py -l

192.168.100.35  失败

192.168.100.31  失败

127.0.0.1  失败

192.168.100.20  成功

查看登录成功和失败日志

#  成功的 -s

[root@centos emergency]# python emergency.py -s | more

账户 : emergency    时间 : 2017-08-09-11:20  来源 : (192.168.100.24)

账户 : emergency    时间 : 2017-08-09-14:34  来源 : (192.168.100.24)

账户 : root    时间 : 2017-09-28-12:38  来源 : (192.168.100.65)

账户 : root    时间 : 2017-09-28-12:46  来源 : (192.168.100.65)

账户 : root    时间 : 2017-09-28-13:13  来源 : (192.168.100.65)

# 失败的 -f

[root@centos emergency]# python emergency.py -f | more

账户 : emergency    时间 : 192.168.100.34  来源 : Jul-6-21:27---21:27

账户 : emergency    时间 : 192.168.100.34  来源 : Jul-6-21:25---21:25

账户 : admin    时间 : 127.0.0.1  来源 : Jul-5-15:32---15:32

#  如果需要指定IP 加-i参数 ,例如 -i 192.168.100.34;

查看进程列表和详细信息

#  列表信息

[root@centos emergency]# python emergency.py -a

***********************************************************************************************************

进程ID号: 2     进程名称: kthreadd     进程用户: root     启动时间: 2018-06-16 07:40:48

CPU占比: 0.0%     内存占比: 0.0%

网络连接:

***********************************************************************************************************

***********************************************************************************************************

进程ID号: 3     进程名称: ksoftirqd/0     进程用户: root     启动时间: 2018-06-16 07:40:48

CPU占比: 0.0%     内存占比: 0.0%

网络连接:

***********************************************************************************************************

...

##  详细信息

[root@centos emergency]# python emergency.py -p 28344

***********************************************************************************************************

进程ID号: 28344     进程名称: screen     进程用户: emergency     启动时间: 2018-06-22 13:25:30

工作路径: /home/emergency/

进程命令: SCREEN

父母进程: 1

亲子进程: [28345]

CPU占比: 0.0%     内存占比: 0.0046135703802%

网络连接:

进程环境:

        终端会话    :  /bin/bash

        安全会话    :

        登录账户    :  emergency

        工作账户    :  emergency

        权限路径    :  /usr/lib64/ccache:/usr/local/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/home/emergency/tools:/usr/local/bin:/usr/local/sbin:/usr/local/python3/bin:/home/emergency/.local/bin:/home/emergency/bin

        用户目录    :  /home/emergency

***********************************************************************************************************

添加virustotal基本查询功能

# 检查样本

[root@centos emergency]# python virustotal.py -f ./LICENSE

******************************************

检测时间: 2018-07-09 07:31:04

报毒数量: 0

报毒引擎: []

引擎总数: 59

******************************************

# 检查URL

[root@centos emergency]# python virustota.py -u http://1.1.1.2/bmi/docs.autodesk.com

******************************************

检测时间: 2018-07-09 16:33:29

关联样本: 0

关联连接: 0

关联域名: 0

******************************************

# 检查域名

[root@centos emergency]# python virustota.py -d baidu.com

******************************************

检测时间: 2018-07-09 16:33:35

关联样本: 202

关联连接: 100

关联域名: 8

******************************************

# 检查IP

[root@centos emergency]# python virustota.py -a 114.114.114.114

******************************************

检测时间: 2018-07-09 16:34:05

关联样本: 135

关联连接: 93

关联域名: 592

******************************************

增加查看whois信息的功能

[root@centos emergency]# python mywhois.py -d baidu.com

Domain Name: baidu.com

Registry Domain ID: 11181110_DOMAIN_COM-VRSN

Registrar WHOIS Server: whois.markmonitor.com

Registrar URL: http://www.markmonitor.com

Updated Date: 2017-07-27T19:36:28-0700

Creation Date: 1999-10-11T04:05:17-0700

Registrar Registration Expiration Date: 2026-10-11T00:00:00-0700

Registrar: MarkMonitor, Inc.

Registrar IANA ID: 292

Registrar Abuse Contact Email: abusecomplaints@markmonitor.com

Registrar Abuse Contact Phone: +1.2083895740

Domain Status: clientUpdateProhibited (https://www.icann.org/epp#clientUpdateProhibited)

Domain Status: clientTransferProhibited (https://www.icann.org/epp#clientTransferProhibited)

Domain Status: clientDeleteProhibited (https://www.icann.org/epp#clientDeleteProhibited)

Domain Status: serverUpdateProhibited (https://www.icann.org/epp#serverUpdateProhibited)

Domain Status: serverTransferProhibited (https://www.icann.org/epp#serverTransferProhibited)

Domain Status: serverDeleteProhibited (https://www.icann.org/epp#serverDeleteProhibited)

Registrant Organization: Beijing Baidu Netcom Science Technology Co., Ltd.

Registrant State/Province: Beijing

Registrant Country: CN

Admin Organization: Beijing Baidu Netcom Science Technology Co., Ltd.

Admin State/Province: Beijing

Admin Country: CN

Tech Organization: Beijing Baidu Netcom Science Technology Co., Ltd.

Tech State/Province: Beijing

Tech Country: CN

Name Server: ns4.baidu.com

Name Server: ns3.baidu.com

Name Server: dns.baidu.com

Name Server: ns2.baidu.com

Name Server: ns7.baidu.com

DNSSEC: unsigned

URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/

>>> Last update of WHOIS database: 2018-07-09T02:21:59-0700 <<<

If certain contact information is not shown for a Registrant, Administrative,

or Technical contact, and you wish to send a message to these contacts, please

send your message to whoisrelay@markmonitor.com and specify the domain name in

the subject line. We will forward that message to the underlying contact.

If you have a legitimate interest in viewing the non-public WHOIS details, send

your request and the reasons for your request to abusecomplaints@markmonitor.com

and specify the domain name in the subject line. We will review that request and

may ask for supporting documentation and explanation.

The Data in MarkMonitor.com's WHOIS database is provided by MarkMonitor.com for

information purposes, and to assist persons in obtaining information about or

related to a domain name registration record.  MarkMonitor.com does not guarantee

its accuracy.  By submitting a WHOIS query, you agree that you will use this Data

only for lawful purposes and that, under no circumstances will you use this Data to:

 (1) allow, enable, or otherwise support the transmission of mass unsolicited,

     commercial advertising or solicitations via e-mail (spam); or

 (2) enable high volume, automated, electronic processes that apply to

     MarkMonitor.com (or its systems).

MarkMonitor.com reserves the right to modify these terms at any time.

By submitting this query, you agree to abide by this policy.

MarkMonitor is the Global Leader in Online Brand Protection.

MarkMonitor Domain Management(TM)

MarkMonitor Brand Protection(TM)

MarkMonitor AntiPiracy(TM)

MarkMonitor AntiFraud(TM)

Professional and Managed Services

Visit MarkMonitor at http://www.markmonitor.com

Contact us at +1.8007459229

In Europe, at +44.02032062220

For more information on Whois status codes, please visit

 https://www.icann.org/resources/pages/epp-status-codes-2014-06-16-en

--

关于web攻击日志的检测

程序下载:

git clone https://github.com/cisp/AccessLogAnylast.git

关于使用:

    parser.add_option("-f", "--floder",dest="filepath",help="access log file path")

    parser.add_option("-t", "--time",dest="accesstime",help="set search time")

    parser.add_option("-d", "--date",dest="accessdate",help="set search date")

    parser.add_option("-c", "--count",action='store_true',dest="count",help="show count information")

    parser.add_option("-p", "--payload",dest="payload",help="set search payload")

    parser.add_option("-a","--address",dest="ipaddress",help="set search ipaddress")

    parser.add_option("-v", "--version",action='store_true',dest="version",help="show document")

    parser.add_option("-i","--detail",action='store_true',dest="detail",help="show detail")

    parser.add_option("-s","--shell",action='store_true',dest="webshell",help="show suspicious webshell")

    parser.add_option("-g","--ipflag",dest="ipposition",help="ip position in logfile")

    parser.add_option("-n","--name",dest="filename",help="filename flag")

Linux下应急工具的更多相关文章

  1. 哈工大 计算机系统 实验一 Linux下C工具应用

    所有实验文件可见github 计算机系统实验整理 实验报告 实 验(一) 题 目 Linux下C工具应用 专 业 计算机学院 学 号 班 级 学 生 指 导 教 师 实 验 地 点 实 验 日 期 计 ...

  2. Linux下sysstat工具学习

    Linux下,我们多用ssh链接服务器远程操控.对于系统的监控必不可少,sysstat很不错的监控工具包. sysstat官网:http://sebastien.godard.pagesperso-o ...

  3. linux如何ARP嗅探 Linux下嗅探工具Dsniff安装记录

      先来下载依赖包 和一些必须要用到的工具 我这里用的是 dsniff-2.3 的版本 wget http://www.monkey.org/~dugsong/dsniff/dsniff-2.3.ta ...

  4. Linux下同步工具inotify+rsync使用详解

    1. rsync 1.1 什么是rsync rsync是一个远程数据同步工具,可通过LAN/WAN快速同步多台主机间的文件.它使用所谓的“Rsync演算法”来使本地和远程两个主机之间的文件达到同步,这 ...

  5. linux下debug工具

    在linux下开发难免会遇到bug,但是由于没有图形IDE,导致debug也变得困难,其实只要掌握一些常用的debug工具,一些错误就能很快解决,本文就介绍一些常用的工具用以调试: log 输出log ...

  6. (转)Linux下同步工具inotify+rsync使用详解

    原文:https://segmentfault.com/a/1190000002427568 1. rsync 1.1 什么是rsync rsync是一个远程数据同步工具,可通过LAN/WAN快速同步 ...

  7. Linux下SSH工具 PAC Manager的安装

    PAC Manager, Linux下类似SecureCRT Xshell的SSH工具,该工具功能上相当的不错,完全可以代替SecureCRT Xshell的功能. PAC (Perl Auto Co ...

  8. Linux下Vim工具常用命令

    原文地址: http://www.cnblogs.com/lizhenghn/p/3675011.html 在linux下做开发,甚至是只做管理维护工作,也少不了Vim的使用.作为一个新手,我也是刚刚 ...

  9. linux下nmap工具的使用

    NMap,也就是Network Mapper,是Linux下的网络扫描和嗅探工 具包,其基本功能有三个,一是探测一组主机是否在线:其次是扫描主机端口,嗅探所提供的网络服务:还可以推断主机所用的操作系统 ...

随机推荐

  1. php sql纯语句

    条件语句CASE CASE WHEN a.business_mark != END as source_type, 条件语句 CASE ELSE CASE WHEN a.business_mark ! ...

  2. POI初体验

    Apache POI是Apache软件基金会的开放源码函式库,POI提供API给Java程序对Microsoft Office格式档案读和写的功能. 它的结构如下: HSSF - 提供读写Micros ...

  3. UNIX环境编程学习笔记(28)——多线程编程(三):线程的取消

    lienhua342014-11-24 1 取消线程 pthread 提供了pthread_cancel 函数用于请求取消同一进程中的其他线程. #include <pthread.h> ...

  4. 在web项目中集成pdf.js的默认查看器

    pdf.jsMozilla开源的一项用于在HTML5平台上显示pdf文档的技术,Mozilla自己的Firefox浏览器也用了pdf.js来预览pdf,可见应该是一个比较成熟稳定的方案(btw,chr ...

  5. 性能分析Linux服务器CPU利用率

    CPU度量 1.  指标范围 1.1  User mode CPU utilization+ System mode CPU utilization 合理值:60-85%,如果在一个多用户系统中us+ ...

  6. 为tomcat指定JDK版本

    可以为tomcat指定JDK. 当系统中安装有多个版本的jdk时,可以为tomcat指定jdk版本. 在catalina.sh文件和setclasspath.sh文件开头的空白处加上如下一行: exp ...

  7. BarTender中每个标签提示手动输入的设置方法

    我们知道手动输入数据进行标签打印,可以利用BarTender中的数据输入表单来实现.表单的创建有利于提示程序员,输入要打印标签的的数据.如果手动输入数据的标签较多,可以设置表单提示为每个标签提示,减去 ...

  8. Java实现非法访问异常

    创建ExceptionTest类,在该类的main()方法中,使用反射获得String类的所有域,不要使用setAccessible方法修改这些域的可见性,然后通过反射获得私有域中与”hash”相匹配 ...

  9. swift--使用URLSession异步加载图片

    NSURLConnection,在ios9.0以后被废弃,以后使用URLSession类,如下图 具体样例: self.imageV.frame = CGRect(x:,y:,width:kScree ...

  10. JavaScript之 for...in

    for-in 可以用来枚举对象的属性,还有数组的索引,用法: 枚举对象属性 var o={name:'a',age:25,sex:'male'} for(var each in o){ console ...