Linux 应急处置工具 LinuxCheck 使用指南

一、工具概述

  LinuxCheck 是一款专为 Linux 系统设计的应急处置、信息收集与安全检测工具。该工具可对系统进行全方位安全检查,涵盖13个大类、70+细项,包括基础配置、网络流量、定时任务、环境变量、用户信息、服务、Bash、恶意文件、内核 Rootkit、SSH 安全、Webshell、挖矿行为及供应链安全等,适用于应急响应、安全巡检和入侵排查场景。

  项目地址https://github.com/al0ne/LinuxCheck

二、更新日志
2024年4月20日
  • 输出格式调整为 Markdown 报告
  • 弃用 Flag,改用原生 grep 命令,避免额外依赖
  • 优化代码结构,减少冗余 tee 操作
  • 更新 Webshell 检测逻辑
  • 更新 authorized_keys 检测逻辑
  • 新增 JDWP、Python HTTP Server 风险检测
  • 新增 Docker 容器检测
  • 新增 PAM 后门检测
  • 支持本地报告上传,便于批量应急处理
2022年08月05日
  • 修复内核模块检查日志过多问题
2022年03月07日
  • 新增 SSH 软连接后门检测
2021年10月17日
  • 新增 Ntpclient/WorkMiner/TeamTNT 挖矿木马检测
  • 新增 Rootkit 模块检测
  • 新增 Python pip 投毒检测
  • 新增 $HOME/.profile 检查
  • 新增 Redis 风险检测

三、功能模块一览
1. 基础配置检查
  • 系统配置变更
  • 系统信息(IP/用户/开机时间/版本/Hostname/SN)
  • CPU 使用率
  • 登录用户信息
  • CPU / 内存占用 Top 15
  • 磁盘空间与挂载
  • 常用软件检查
  • /etc/hosts 文件
2. 网络与流量检查
  • 网络接口与流量
  • 端口监听与对外开放
  • 网络连接状态
  • TCP 连接状态
  • 路由表与转发
  • DNS / ARP 信息
  • 网卡混杂模式
  • iptables 防火墙规则
3. 任务计划检查
  • 用户级与系统级定时任务
  • 任务计划文件创建时间
  • crontab 后门排查
4. 环境变量检查
  • env / PATH
  • LD_PRELOAD / LD_ELF_PRELOAD / LD_AOUT_PRELOAD
  • PROMPT_COMMAND
  • LD_LIBRARY_PATH
  • ld.so.preload
5. 用户信息检查
  • 可登录用户
  • /etc/passwd 修改时间
  • sudoers 配置
  • 登录历史(w / last / lastlog)
  • 历史登录 IP
6. 服务检查
  • SystemD 服务状态与创建时间
7. Bash 与环境检查
  • 命令历史(History)
  • /etc/profile / ~/.profile / ~/.bashrc / rc.local
  • Bash 反弹 Shell 检测
8. 文件系统检查
  • 隐藏文件
  • 系统文件修改时间
  • 临时目录(/tmp, /var/tmp, /dev/shm)
  • alias / suid 权限
  • 进程关联文件
  • 近7天修改文件(mtime / ctime)
  • 大文件(>200MB)
  • 敏感工具文件(nmap/sqlmap/frp/nps等)
  • 可疑黑客文件(伪装成正常软件的木马)
9. 内核与 Rootkit 检查
  • 可疑内核模块
  • 内核符号表
  • Rootkit Hunter 检测
  • 内核模块(.ko)检查
10. SSH 安全检查
  • SSH 爆破记录
  • SSHD 配置
  • SSH 后门与 inetd 后门
  • SSH Key 审计
11. Webshell 检查
  • PHP / JSP Webshell 检测
12. 挖矿行为检查
  • 挖矿文件与进程
  • WorkMiner / Ntpclient 挖矿木马
13. 供应链与风险服务检查
  • Python PIP 投毒检测
  • Redis 弱密码
  • JDWP 服务暴露
  • Python HTTP Server 暴露
  • Docker 权限检查

 

四、安装与使用
1、方式一:Git Clone 安装(推荐)
git clone https://github.com/al0ne/LinuxCheck.git
cd LinuxCheck
chmod +x LinuxCheck.sh
./LinuxCheck.sh
2、方式二:在线执行
bash -c "$(curl -sSL https://raw.githubusercontent.com/al0ne/LinuxCheck/main/LinuxCheck.sh)"
3、输出说明

工具执行后将生成 Markdown 格式报告,包含所有检查项的详细结果,便于后续分析与存档。
✅ 建议使用 root 权限执行以获取完整系统信息。

4、使用建议
  • 适用于 CentOS / Debian 等主流 Linux 发行版
  • 可在应急响应、安全巡检、入侵排查等场景使用
  • 支持批量机器扫描并上传报告,适合企业环境
  • 建议定期执行以建立系统安全基线
五、免责声明

本工具仅限用于安全检测与应急响应,请勿用于非法用途。使用者需遵守当地法律法规,并取得系统所有者授权。