Linux下的应急工具

在Linux下,应急的查看点无非那个几个,一是看表现(宕机、高CPU、高内存、高IO、高网络通信),二看连接、三看进程、四看日志、五看文件(Linux一切皆文件),再者结合起来看。所以针对常见的应急操作自己写了两个小工具。目前支持CentOS和RedHat,其实由于基于Python,基本是跨平台,绝大部分功能支持其他发行版本的Linux甚至Windows。

工具的安装

#要求root权限

git clone https://github.com/cisp/LinuxEmergency.git

cd LinuxEmergency

sh ./install.sh

工具的使用

查看操作系统信息:

[root@centos emergency]# python emergency.py -o

        内核版本 : Linux-3.10.0-514.26.2.el7.v7.4.qihoo.x86_64-x86_64-with-centos-7.2.1511-Core

        CORE数量 : 16

        CPU数量 : 16

        CPU使用率 : scputimes(user=1.0, nice=0.0, system=0.0, idle=15.0, iowait=0.0, irq=0.0, softirq=0.0, steal=0.0, guest=0.0, guest_nice=0.0)

        内存总量  : 33736994816

        内存使用率 : 5.1

[root@centos emergency]#

查看内核模块信息:

[root@centos emergency]# python emergency.py -k

内核模块 : nfnetlink_queue  来源  :

内核模块 : nfnetlink_log  来源  :

内核模块 : nfnetlink  来源  :  nfnetlink_log,nfnetlink_queue

内核模块 : bluetooth  来源  :

查看所有登录成功失败的IP地址:

[root@scentos emergency]# python emergency.py -l

192.168.100.35  失败

192.168.100.31  失败

127.0.0.1  失败

192.168.100.20  成功

查看登录成功和失败日志

#  成功的 -s

[root@centos emergency]# python emergency.py -s | more

账户 : emergency    时间 : 2017-08-09-11:20  来源 : (192.168.100.24)

账户 : emergency    时间 : 2017-08-09-14:34  来源 : (192.168.100.24)

账户 : root    时间 : 2017-09-28-12:38  来源 : (192.168.100.65)

账户 : root    时间 : 2017-09-28-12:46  来源 : (192.168.100.65)

账户 : root    时间 : 2017-09-28-13:13  来源 : (192.168.100.65)

# 失败的 -f

[root@centos emergency]# python emergency.py -f | more

账户 : emergency    时间 : 192.168.100.34  来源 : Jul-6-21:27---21:27

账户 : emergency    时间 : 192.168.100.34  来源 : Jul-6-21:25---21:25

账户 : admin    时间 : 127.0.0.1  来源 : Jul-5-15:32---15:32

#  如果需要指定IP 加-i参数 ,例如 -i 192.168.100.34;

查看进程列表和详细信息

#  列表信息

[root@centos emergency]# python emergency.py -a

***********************************************************************************************************

进程ID号: 2     进程名称: kthreadd     进程用户: root     启动时间: 2018-06-16 07:40:48

CPU占比: 0.0%     内存占比: 0.0%

网络连接:

***********************************************************************************************************

***********************************************************************************************************

进程ID号: 3     进程名称: ksoftirqd/0     进程用户: root     启动时间: 2018-06-16 07:40:48

CPU占比: 0.0%     内存占比: 0.0%

网络连接:

***********************************************************************************************************

...

##  详细信息

[root@centos emergency]# python emergency.py -p 28344

***********************************************************************************************************

进程ID号: 28344     进程名称: screen     进程用户: emergency     启动时间: 2018-06-22 13:25:30

工作路径: /home/emergency/

进程命令: SCREEN

父母进程: 1

亲子进程: [28345]

CPU占比: 0.0%     内存占比: 0.0046135703802%

网络连接:

进程环境:

        终端会话    :  /bin/bash

        安全会话    :

        登录账户    :  emergency

        工作账户    :  emergency

        权限路径    :  /usr/lib64/ccache:/usr/local/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/home/emergency/tools:/usr/local/bin:/usr/local/sbin:/usr/local/python3/bin:/home/emergency/.local/bin:/home/emergency/bin

        用户目录    :  /home/emergency

***********************************************************************************************************

添加virustotal基本查询功能

# 检查样本

[root@centos emergency]# python virustotal.py -f ./LICENSE

******************************************

检测时间: 2018-07-09 07:31:04

报毒数量: 0

报毒引擎: []

引擎总数: 59

******************************************

# 检查URL

[root@centos emergency]# python virustota.py -u http://1.1.1.2/bmi/docs.autodesk.com

******************************************

检测时间: 2018-07-09 16:33:29

关联样本: 0

关联连接: 0

关联域名: 0

******************************************

# 检查域名

[root@centos emergency]# python virustota.py -d baidu.com

******************************************

检测时间: 2018-07-09 16:33:35

关联样本: 202

关联连接: 100

关联域名: 8

******************************************

# 检查IP

[root@centos emergency]# python virustota.py -a 114.114.114.114

******************************************

检测时间: 2018-07-09 16:34:05

关联样本: 135

关联连接: 93

关联域名: 592

******************************************

增加查看whois信息的功能

[root@centos emergency]# python mywhois.py -d baidu.com

Domain Name: baidu.com

Registry Domain ID: 11181110_DOMAIN_COM-VRSN

Registrar WHOIS Server: whois.markmonitor.com

Registrar URL: http://www.markmonitor.com

Updated Date: 2017-07-27T19:36:28-0700

Creation Date: 1999-10-11T04:05:17-0700

Registrar Registration Expiration Date: 2026-10-11T00:00:00-0700

Registrar: MarkMonitor, Inc.

Registrar IANA ID: 292

Registrar Abuse Contact Email: abusecomplaints@markmonitor.com

Registrar Abuse Contact Phone: +1.2083895740

Domain Status: clientUpdateProhibited (https://www.icann.org/epp#clientUpdateProhibited)

Domain Status: clientTransferProhibited (https://www.icann.org/epp#clientTransferProhibited)

Domain Status: clientDeleteProhibited (https://www.icann.org/epp#clientDeleteProhibited)

Domain Status: serverUpdateProhibited (https://www.icann.org/epp#serverUpdateProhibited)

Domain Status: serverTransferProhibited (https://www.icann.org/epp#serverTransferProhibited)

Domain Status: serverDeleteProhibited (https://www.icann.org/epp#serverDeleteProhibited)

Registrant Organization: Beijing Baidu Netcom Science Technology Co., Ltd.

Registrant State/Province: Beijing

Registrant Country: CN

Admin Organization: Beijing Baidu Netcom Science Technology Co., Ltd.

Admin State/Province: Beijing

Admin Country: CN

Tech Organization: Beijing Baidu Netcom Science Technology Co., Ltd.

Tech State/Province: Beijing

Tech Country: CN

Name Server: ns4.baidu.com

Name Server: ns3.baidu.com

Name Server: dns.baidu.com

Name Server: ns2.baidu.com

Name Server: ns7.baidu.com

DNSSEC: unsigned

URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/

>>> Last update of WHOIS database: 2018-07-09T02:21:59-0700 <<<

If certain contact information is not shown for a Registrant, Administrative,

or Technical contact, and you wish to send a message to these contacts, please

send your message to whoisrelay@markmonitor.com and specify the domain name in

the subject line. We will forward that message to the underlying contact.

If you have a legitimate interest in viewing the non-public WHOIS details, send

your request and the reasons for your request to abusecomplaints@markmonitor.com

and specify the domain name in the subject line. We will review that request and

may ask for supporting documentation and explanation.

The Data in MarkMonitor.com's WHOIS database is provided by MarkMonitor.com for

information purposes, and to assist persons in obtaining information about or

related to a domain name registration record.  MarkMonitor.com does not guarantee

its accuracy.  By submitting a WHOIS query, you agree that you will use this Data

only for lawful purposes and that, under no circumstances will you use this Data to:

 (1) allow, enable, or otherwise support the transmission of mass unsolicited,

     commercial advertising or solicitations via e-mail (spam); or

 (2) enable high volume, automated, electronic processes that apply to

     MarkMonitor.com (or its systems).

MarkMonitor.com reserves the right to modify these terms at any time.

By submitting this query, you agree to abide by this policy.

MarkMonitor is the Global Leader in Online Brand Protection.

MarkMonitor Domain Management(TM)

MarkMonitor Brand Protection(TM)

MarkMonitor AntiPiracy(TM)

MarkMonitor AntiFraud(TM)

Professional and Managed Services

Visit MarkMonitor at http://www.markmonitor.com

Contact us at +1.8007459229

In Europe, at +44.02032062220

For more information on Whois status codes, please visit

 https://www.icann.org/resources/pages/epp-status-codes-2014-06-16-en

--

关于web攻击日志的检测

程序下载:

git clone https://github.com/cisp/AccessLogAnylast.git

关于使用:

    parser.add_option("-f", "--floder",dest="filepath",help="access log file path")

    parser.add_option("-t", "--time",dest="accesstime",help="set search time")

    parser.add_option("-d", "--date",dest="accessdate",help="set search date")

    parser.add_option("-c", "--count",action='store_true',dest="count",help="show count information")

    parser.add_option("-p", "--payload",dest="payload",help="set search payload")

    parser.add_option("-a","--address",dest="ipaddress",help="set search ipaddress")

    parser.add_option("-v", "--version",action='store_true',dest="version",help="show document")

    parser.add_option("-i","--detail",action='store_true',dest="detail",help="show detail")

    parser.add_option("-s","--shell",action='store_true',dest="webshell",help="show suspicious webshell")

    parser.add_option("-g","--ipflag",dest="ipposition",help="ip position in logfile")

    parser.add_option("-n","--name",dest="filename",help="filename flag")

Linux下应急工具的更多相关文章

  1. 哈工大 计算机系统 实验一 Linux下C工具应用

    所有实验文件可见github 计算机系统实验整理 实验报告 实 验(一) 题 目 Linux下C工具应用 专 业 计算机学院 学 号 班 级 学 生 指 导 教 师 实 验 地 点 实 验 日 期 计 ...

  2. Linux下sysstat工具学习

    Linux下,我们多用ssh链接服务器远程操控.对于系统的监控必不可少,sysstat很不错的监控工具包. sysstat官网:http://sebastien.godard.pagesperso-o ...

  3. linux如何ARP嗅探 Linux下嗅探工具Dsniff安装记录

      先来下载依赖包 和一些必须要用到的工具 我这里用的是 dsniff-2.3 的版本 wget http://www.monkey.org/~dugsong/dsniff/dsniff-2.3.ta ...

  4. Linux下同步工具inotify+rsync使用详解

    1. rsync 1.1 什么是rsync rsync是一个远程数据同步工具,可通过LAN/WAN快速同步多台主机间的文件.它使用所谓的“Rsync演算法”来使本地和远程两个主机之间的文件达到同步,这 ...

  5. linux下debug工具

    在linux下开发难免会遇到bug,但是由于没有图形IDE,导致debug也变得困难,其实只要掌握一些常用的debug工具,一些错误就能很快解决,本文就介绍一些常用的工具用以调试: log 输出log ...

  6. (转)Linux下同步工具inotify+rsync使用详解

    原文:https://segmentfault.com/a/1190000002427568 1. rsync 1.1 什么是rsync rsync是一个远程数据同步工具,可通过LAN/WAN快速同步 ...

  7. Linux下SSH工具 PAC Manager的安装

    PAC Manager, Linux下类似SecureCRT Xshell的SSH工具,该工具功能上相当的不错,完全可以代替SecureCRT Xshell的功能. PAC (Perl Auto Co ...

  8. Linux下Vim工具常用命令

    原文地址: http://www.cnblogs.com/lizhenghn/p/3675011.html 在linux下做开发,甚至是只做管理维护工作,也少不了Vim的使用.作为一个新手,我也是刚刚 ...

  9. linux下nmap工具的使用

    NMap,也就是Network Mapper,是Linux下的网络扫描和嗅探工 具包,其基本功能有三个,一是探测一组主机是否在线:其次是扫描主机端口,嗅探所提供的网络服务:还可以推断主机所用的操作系统 ...

随机推荐

  1. PHP和Apache结合 Apache默认虚拟主机

  2. 用外部物理路由器时与外部dhcp服务时怎样使用metadata服务(by quqi99)

    作者:张华  发表于:2015-12-31版权声明:能够随意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 ( http://blog.csdn.net/quqi99 ) 用外部 ...

  3. spring mvc 框架URL接收中文参数的乱码解决方案

    后台可能就会出现乱码,具体解决方案如下: 一. 配置tomcat目录下的service.xml文件 tomcat7/conf/server.xml 给该行代码加上 URIEncoding=" ...

  4. PGsql 基本用户权限操作

    Ⅰ. 安装与初始账户密码修改 1. 安装 sudo apt-get install postgresql-9.4 2. 管理员身份打开pg sudo -u postgres psql sudo -u ...

  5. Spring Boot 处理 REST API 错误的正确姿势

    摘要:如何正确的处理API的返回信息,让返回的错误信息提供更多的含义是一个非常值得做的功能.默认一般返回的都是难以理解的堆栈信息,然而这些信息也许对于API的客户端来说有可能并没有多大用途,并没有多大 ...

  6. Winform窗体控件自适应大小

    自己写的winform窗体自适应大小代码,代码比较独立,很适合贴来贴去不会对原有程序造成影响,可以直接继承此类或者把代码复制到自己的代码里面直接使用 借鉴了网上的一些资料,最后采用重写WndProc方 ...

  7. centos7 安装keepalived

    node1 192.168.5.101 node2 192.168.5.102 1.安装 openssl openssl-devel yum install openssl openssl-devel ...

  8. python concurrent.futures包使用,捕获异常

    concurrent.futures的ThreadPoolExecutor类暴露的api很好用,threading模块抹油提供官方的线程池.和另外一个第三方threadpool包相比,这个可以非阻塞的 ...

  9. CharacterMotor_刚体角色驱动

    using UnityEngine; //this class holds movement functions for a rigidbody character such as player, e ...

  10. 如何在Windows系统上利用Telnet协议连接Linux服务器

    Telnet协议是Internet远程登录服务的标准协议,它为用户提供了在本地计算机上完成远程主机工作的能力.很多终端使用者都习惯在计算机上利用Telnet会话来远程控制服务器.这里小编就分两步为大家 ...