原来的脚本存在严重问题,会删除系统文件,请立刻停止使用,停止散布并通知下载的其他人
原来的脚本把
引用:rm -rf `eval echo $resultDir/*`
这一行去掉就可以
kaichun 回复于:2005-07-21 22:52:18
把这好东西都拿出来,我喜欢。多谢了
yh6788 回复于:2005-07-21 23:01:10
好东西,我一定要读懂他,然后写出一个能开玩笑的程序。:)
SuperCube 回复于:2005-07-22 08:48:56
谢谢斑竹!
楼上的兄弟也太有创意了吧。 : )
yanghz 回复于:2005-07-22 09:02:41
那位哥们给加个注释啊,实在是很难理清作者的思路啊
archangle 回复于:2005-07-22 09:03:11
root@gelu ~# ./t
mkdir: cannot create directory `/var/ayazero': File exists
Info: Detection Started...,Be sure to run this as root
Info: detecting os version info...
Info: detecting Current login and CPU load...
Info: detecting recent logins...
Info: detecting process info...
Info: detecting autostart programs and modules...
Info: detecting login backdoor...
Info: detecting network info...
Info: detecting cpu load...
Info: detecting Kernel modules list...
Info: detecting account info...
Info: detecting trusted relationship
Info: detecting autostart services...
./t: line 125: unexpected EOF while looking for matching `"'
./t: line 126: syntax error: unexpected end of file
用台机器测试了一下,似乎有些地方需要改进
bash --version
GNU bash, version 2.05b.0(1)-release (i586-trustix-linux-gnu)
Copyright (C) 2002 Free Software Foundation, Inc.
archangle 回复于:2005-07-22 09:06:01
原来后面那个错误是我少复制了一个'"'造成的.
ayazero 回复于:2005-07-22 09:26:48
引用:原帖由 "yanghz"]那位哥们给加个注释啊,实在是很难理清作者的思路啊
发表:
注释在这里:
http://bbs.chinaunix.net/forum/viewtopic.php?t=335596
ayazero 回复于:2005-07-22 09:34:22
可惜没有测试机,不然Solaris、HP-UX、AIX、FreeBSD版的都可以写出来
比起module_hunter之类的,这个脚本的确一点技术含量都没有,只能算是简化了别人的工作
yanghz 回复于:2005-07-22 10:23:36
哈哈,好,谢谢ayazero
双眼皮的猪 回复于:2005-07-22 10:47:15
^_^
如果是Linux Incident Response Script,那么在查看运行级别哪里还是不能用看/etc/inittab的initdefault来看,可能在启动后被切换过运行级别.所以还是用who -r或者runlevel比较合适...
刚想起,哈哈
ayazero 回复于:2005-07-22 11:51:26
实际上应该列出runlevel3和5下的启动项,这些都是可能被修改的
soway 回复于:2005-07-22 11:59:12
看来你这一年变化很大
我在这一年多基本没关心多少安全,更多是被各自应用不停的要求。
ayazero 回复于:2005-07-22 12:17:20
引用:原帖由 "soway" 发表:
看来你这一年变化很大
我在这一年多基本没关心多少安全,更多是被各自应用不停的要求。
其实这一年也没达到自己的期望,偶尔看点技术只是为了工作需要,70%的精力花在别的地方了,刚开始每天下班能学4-5小时,后来工作越来越忙根本没有时间学习,出差更是把计划全部打乱,现在下班了只觉得累,根本无心学习,也是必须要换个环境了
BTW,下周末我回家了,有空可以来无锡逛逛,打我电话就行:13511063291
bigbomb 回复于:2005-07-29 10:00:06
老兄的文章中有大量的数字2出现,比如
last >;>; /var/ayazero/ir 2>;>;$errFile
crontab -l >;>; /var/ayazero/ir 2>;>;$errFile
ls -alRu >;>; /var/ayazero/access 2>;>;$errFil
.....
这个数字2有什么用途,实在是不太明白,还望ayazero老兄指点一二
双眼皮的猪 回复于:2005-07-29 10:09:25
写C程序的应该会注意到stderr吧,标准错误,一般定向到显示器(终端).我这里是定向到文件.
0 标准输入
1 标准输出
2 标准错误
2就是把错误信息写到$errFile这个文件^_^所以脚本运行完,看看这个文件中途有没发生错误^_^
bigbomb 回复于:2005-07-29 11:04:09
您所指的错误是有人入侵后的错误,还是脚本执行后的错误?我也是刚学写脚本,若问的问题有些幼稚,还请您海涵.
双眼皮的猪 回复于:2005-07-29 12:22:58
汗...
不要这么客气吧...
本脚本只会帮你把该分析的东西放在一起,至于分析这个步骤,还是要靠自己
脚本执行中有错误的话会写到$errFile,如果都帮你分析完,那工作量可就大多了.
所以在$errFile中看到的是脚本执行的问题.
miFor 回复于:2005-08-06 23:37:50
少判断了ssh的认证文件
kai0200 回复于:2006-05-25 15:54:24
不好意思问一下这个教本从哪能下!
lovegqin 回复于:2006-05-26 16:03:15
抱着学习的态度来看看,不过没找到下载
net_robber 回复于:2007-01-22 15:04:54
引用:原帖由 lovegqin 于 2006-5-26 16:03 发表
抱着学习的态度来看看,不过没找到下载
同问,这个脚本在哪里啊???
|
