1、工具简介
司稽(Whoamifuck或Chief-Inspector,简称"who"),永恒之锋发布的第一款开源工具,这是一款由shell编写的Linux应急响应脚本,能对基本的检查项进行输出和分析,并支持一些扩展的特色功能。
2、功能介绍
使用方法:
-v --version 版本信息
-h --help 帮助指南
QUICK
-u --user-device 查看设备基本信息
-l --login [FILEPATH] 用户登录信息 [default:/var/log/secure;/var/log/auth.log]
-n --nomal 基本输出模式
-a --all 全量输出模式
SPECIAL
-x --proc-serv 检查用户进程与开启服务状态
-p --port 查看端口开放状态
-s --os-status 查看系统状态信息
RISK
-b --baseline 基线安全评估
-r --risk 查看系统可能存在的漏洞
-k --rookitcheck 检测系统可能存在的后门
-w --webshell [PATH] 查找可能存在的webshell文件 [default:/var/www/;/www/wwwroot/..]
MISC
-c --code [URL|FILE] 页面存活探测
-i --sqletlog [FILE] 日志分析-SQL注入专业分析
-e --auto-run [0-23 0-59|c] 加入到定时运行计划 [default:~/.whok/chief-inspector.conf]
-z --ext [PATH] 自定义命令配置测试 [default:~/.whok/chief-inspector.conf]
OUTPUT
-o --output [FILENAME] 导出全量输出模式文件
-m --html [FILENAME] 导出全量输出模式HTML文件
3、下载与安装
https://github.com/enomothem/Whoamifuck。
4、使用教程
下载方法:
git clone https://github.com/enomothem/Whoamifuck.git
cd Whoamifuck
chmod +x whoamifuck.sh
可根据自身需求,输入对应参数获取相关信息:
功能截图:
生成报告截图:
5、工具补充说明
工具兼容性方面:
- 操作系统:支持主流Linux发行版(Ubuntu、Debian、CentOS等)。
- 权限要求:需要root权限。
6、注意事项
- 脚本需要root权限才能收集完整信息。
- 部分命令在不同发行版中可能不可用,返回找不到对应路径下文件。
- 建议定期更新规则库以适应新的安全威胁。
