此脚本用于简化应急响应过程,主要是针对CentOS系统应急响应的一些基础项,如下所示:

1)系统负载、内存占用、CPU使用率高的进程

2)系统初始化调用

3)定时任务

4)监听端口、主动外连(高并发机器慎用)

5)777目录下的可执行文件

6)系统命令替换

7)SSH登录成功和失败IP

8)调用河马检测最近修改的jsp文件

9)调用rkhunter查杀Rootkit

 

脚本如下:

#!/bin/bash
#**************************************1********************
#  Author: Vinc
#  Mail: 776711462@qq.com
#  Time: 2018.6.13
#  Description: For CentOS System
#**********************************************************

#mtime of jsp file 
WEBSHELLCHECK=1
#application dir
WEBDIR=/web/jboss/dir/
#mtime of the system command
BINCHECK=5
#mtime of sysinit
INITCHECK=5

Finittab5(){
    echo "***************System Init Check***************"
    echo "------------------------------------------------------"
    echo "/etc/inittab"
    stat /etc/inittab | grep "Modify"
    echo "------------------------------------------------------"
    echo "/etc/rc.d/rc.sysinit"
    stat /etc/rc.d/rc.sysinit | grep "Modify"
    echo "------------------------------------------------------"
    echo "modified files under the /etc/rc.d/init.d/ directory:"
    find /etc/rc.d/init.d -mtime -${INITCHECK}
    echo "------------------------------------------------------"
    echo "/etc/rc.d/rc.local"
    stat /etc/rc.d/rc.local | grep "Modify"
    echo "------------------------------------------------------"
}

Finittab6(){
    echo "***************System Init Check***************"
    echo "------------------------------------------------------"
    echo "modified files under the /etc/init/ directory:"
    find /etc/init/ -name "*.conf" -mtime -${INITCHECK} 
    echo "------------------------------------------------------"
    echo "/etc/rc.d/rc.sysinit"
    stat /etc/rc.d/rc.sysinit | grep "Modify"
    echo "------------------------------------------------------"
    echo "modified files under the /etc/rc.d/init.d/ directory:"
    find /etc/rc.d/init.d/ -mtime -${INITCHECK} 
    echo "------------------------------------------------------"
    echo "/etc/rc.d/rc.local"
    stat /etc/rc.d/rc.local | grep "Modify"
    echo "------------------------------------------------------"
}

Finittab7(){
    echo "***************System Init Check***************"
    echo "------------------------------------------------------"
    echo "modified files under the /usr/lib/systemd/system/ directory:"
    find /usr/lib/systemd/system/ -maxdepth 1 -name "*.service" -mtime -${INITCHECK}
    echo "------------------------------------------------------"
    echo "modified files under the /etc/systemd/system/ directory:"	
    find /etc/systemd/system/ -maxdepth 1 -name "*.service" -mtime -${INITCHECK}
    echo "------------------------------------------------------"
    echo "modified files under the /etc/rc.d/init.d/ directory:"
    find /etc/rc.d/init.d -mtime -${INITCHECK} -type f 
    echo "------------------------------------------------------"
    echo "/etc/rc.d/rc.local"
    stat /etc/rc.d/rc.local | grep "Modify"
    echo "------------------------------------------------------"
}

Fcrontab(){
    echo "***************Crontab Check***************"
    echo "------------------------------------------------------"
    for file in $(ls /var/spool/cron/)
        do
            echo "/var/spool/cron/${file}"
            cat /var/spool/cron/${file} | grep -v "^$" | grep -v "^#"
            echo "------------------------------------------------------"
        done
    echo "/etc/crontab"
    cat /etc/crontab | grep -v "^$" | grep -v "^#"
    echo "------------------------------------------------------"
    echo "/etc/anacrontab"
    cat /etc/anacrontab | grep -v "^$" | grep -v "^#"
    echo "------------------------------------------------------"
    for file in $(find /etc -name "cron.*" -type d)
        do
            echo "${file}"
            ls -alt ${file} | grep '^-' 
            echo "------------------------------------------------------"
        done
}

Fnetlink(){
    echo "***************Netstat Check***************"
    echo "------------------------------------------------------"
    echo "Listening port list:"
    netstat -antlp -A inet | grep LISTEN | awk '{printf "%-20s %-20s\n",$4,$7}'
    echo "------------------------------------------------------"
    echo "The connection initiated by the machine:"
    regstr="("
    for port in $(netstat -antlp -A inet | grep LISTEN | awk -F '[ :]+' '{print $5}')
    do
        regstr="${regstr}${port}|"
    done
    regstr="${regstr%?})"
    regExternal="^((192\.168|172\.([1][6-9]|[2][0-9]|3[01]))(\.([2][0-4][0-9]|[2][5][0-5]|[01]?[0-9]?[0-9])){2}|10(\.([2][0-4][0-9]|[2][5][0-5]|[01]?[0-9]?[0-9])){3})$"
    netstat -antlp -A inet | grep -v '127.0.0.1' | grep ESTABLISHED | awk -F '[ :]+' '{if($5 !~ /'$regstr'/)print $0}' | while read link 
    do
        echo $link | awk -F '[ :]+' '{print $6}' | egrep -v $regExternal >> /dev/null
        if [ $? -eq 0 ];then
            echo $link | awk '{print $4" "$5" "$7}'
        fi
    done
    echo "------------------------------------------------------"
}

FSensitiveDir(){
    echo "***************Sensitive Directory Check(/tmp、/var/tmp、/dev/shm)***************"
    ls /proc/ -tr | grep -v "[a-z]" | while read line
    do
        if [ -d "/proc/$line" ];then
            pname=`readlink /proc/$line/exe`
            echo $pname | egrep '^/(tmp|var/tmp|dev/shm)' >> /dev/null
            if [ $? -eq 0 ];then
                printf "%-20s %-20s\n" $line $pname
            fi
        fi
    done
}

FModifyFile(){
    echo "***************System Command Check(/bin、/sbin、/usr/bin、/usr/sbin)***************"
    echo "------------------------------------------------------"
    echo "The binary files that are modified within ${BINCHECK} days:"
    find /bin/ /sbin/ /usr/sbin/ /usr/bin/ -mtime -${BINCHECK} -type f | while read line
    do
        echo $line
    done
    echo "------------------------------------------------------"
    echo "RPM consistency check:"
    rpm -aV
    echo "------------------------------------------------------"
}

FSshLogin(){
    echo "***************Ssh Login Check***************"
    echo "------------------------------------------------------"
    echo "List of successful IPs for SSH login:"
    grep 'Accepted' /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr
    echo "------------------------------------------------------"
    echo "List of failed IPs for SSH login:"
    grep 'Failed' /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr
    echo "------------------------------------------------------"
}

FLoad(){
    echo "***************System Information***************"
    echo "------------------------------------------------------"
    echo "load average:"
    uptime | awk '{print $10,$11,$12}'
    echo "------------------------------------------------------"
    echo "Memory usage:"
    free -g | grep Mem | awk '{print "Total Mem:"$2"G"}'
    free -g | grep buffers/cache | awk '{print "Used Mem:"$3"G"}'
    echo "------------------------------------------------------"
    echo "The process of CPU usage over 50%:"
    ps aux | sort -rn -k +3 | awk '{if(($3>50))print $0}'
    echo "------------------------------------------------------"
}

FWebshellCheck(){
    echo "***************WebShell Check(hm)***************"
    echo "Jsp files that are modified within ${WEBSHELLCHECK} days:"
    modifydir=/tmp/$(date +%s)/
    mkdir $modifydir
    ls ${WEBDIR} | while read project
    do
        if [ -f ${WEBDIR}${project}/conf/server.xml ];then
            cat "${WEBDIR}${project}/conf/server.xml" | egrep -o 'docBase=".*"' | awk -F '"' '{print $2}' | while read line
            do
                find $line -name '*.jsp' -mtime -${WEBSHELLCHECK}  | while read fname
                do
                    modifyfile=$(echo $fname | sed 's/\//@/g')
                    cp ${fname} ${modifydir}${modifyfile}
                done
            done
        fi
    done
    filecount=$(ls -al ${modifydir} | grep '^-' | wc -l)
    echo "Dir: ${modifydir}"
    echo "JSP files to be detected: ${filecount}"
    if ((${filecount}>0));then
        if [ ! -f /tmp/hm-linux.tgz ];then
            echo "Download the webshell check tool"
            if [ ${bit} -eq 64 ];then
                wget -O /tmp/hm-linux.tgz http://down.shellpub.com/hm/latest/hm-linux-amd64.tgz?version=1.4.2 
            elif [ ${bit} -eq 32 ];then
                wget -O /tmp/hm-linux.tgz http://down.shellpub.com/hm/latest/hm-linux-386.tgz?version=1.4.2 
            fi 
        fi
        [ ! -d /tmp/hmwebshell ] && mkdir /tmp/hmwebshell 
        tar zxvf /tmp/hm-linux.tgz -C /tmp/hmwebshell >> /dev/null
        [ -f /tmp/hmwebshell/hm ] && /tmp/hmwebshell/hm scan ${modifydir} >> /dev/null
        if [ -f result.csv ];then
            count=$(cat result.csv | wc -l)
            if [ ${count} -gt 1 ];then
                echo "The suspicious files are as follows: "
                cat result.csv | egrep '^[0-9]' | awk -F ',' '{print $3}' | awk -F '/' '{print $4}' | sed 's/@/\//g'
            else
                echo "No suspicious files were found"
            fi
        fi
    fi
    rm -rf ${modifydir}
}

FRootkitCheck(){
    echo "***************Rootkit Check***************"
    if [ ! -f /usr/local/bin/rkhunter ];then
        echo "Install rkhunter"
        [ ! -f /tmp/rkhunter-1.4.6.tar.gz ] && wget -O /tmp/rkhunter-1.4.6.tar.gz http://vinc.top/tools/rkhunter-1.4.6.tar.gz
        tar zxvf /tmp/rkhunter-1.4.6.tar.gz && cd /tmp/rkhunter-1.4.6/ && ./installer.sh --install 
    fi
    /usr/local/bin/rkhunter --check -sk
}

ver=$(cat /etc/redhat-release | grep -E -o [0-9.]+ | cut -d . -f 1)
bit=$(getconf LONG_BIT)

FLoad
FSshLogin
FSensitiveDir
FModifyFile
Fcrontab
Fnetlink
case $ver in     
    5)   
    Finittab5
    ;;      
    6)
    Finittab6
    ;;
    7)
    Finittab7
    ;;
esac     
FWebshellCheck
FRootkitCheck

 

 

函数可以让我们将一个复杂功能划分成若干模块,让程序结构更加清晰,代码重复利用率更高。像其他编程语言一样,Shell 也支持函数。Shell 函数必须先定义后使用。
Shell 函数的定义格式如下:
xxxx() {
list of commands
[ return value ] }
xxxx
调用函数只需要给出函数名,不需要加括号。
1)函数返回值,可以显式增加return语句;如果不加,会将最后一条命令运行结果作为返回值。其中0表示成功,1表示失败,127表示命令未找到。
例如:

#!/bin/sh  
test()
{
    echo "arg1 = $1"  
    xxxx
}
test 1
echo $?         # print return result 
[root@vincent tmp]# ./test.sh 
arg1 = 1
./test.sh: line 5: xxxxx: command not found
127

可以看到返回值为127。
Shell 函数返回值只能是整数,如果返回字符串,往往会得到错误提示:“numeric argument required”。如果一定要让函数返回字符串,那么可以先定义一个变量,用来接收函数的计算结果,脚本在需要的时候访问这个变量来获得函数返回值。
2)echo 返回值,把shell函数作为子程序调用,将其结果写到子程序的标准输出。

testFunc()  
{
    local_result='local value'
    echo $local_result  
}

result=`testFunc`
echo $result

 

1)定义数组
在Shell中,用括号来表示数组,数组元素用“空格”符号分割开。定义数组的一般形式为:
    array_name=(value1 … valuen)
例如:
array_name=(value0 value1 value2 value3)

还可以单独定义数组的各个分量:
array_name[0]=value0
array_name[1]=value1
array_name[2]=value2
可以不使用连续的下标,而且下标的范围没有限制。

2)读取遍历数组
读取数组元素值的一般格式是:
    ${array_name[index]}
例如:
valuen=${array_name[2]}
使用@ 或 * 可以获取数组中的所有元素,例如:
${array_name[*]}
${array_name[@]}
示例:
array=(1 2 3 )
for i in ${array[*]}
do
        echo $i
done
[root@vincent tmp]# ./test.sh 
1
2
3
3)获取数组的长度
获取数组长度的方法与获取字符串长度的方法相同,例如:
# 取得数组元素的个数
length=${#array_name[@]}
# 或者
length=${#array_name[*]}
 

在shell编程中,”EOF“通常与”<<“结合使用,“<<EOF“表示后续的输入作为子命令或子shell的输入,直到遇到”EOF“,再次返回到主调shell,可将其理解为分界符(delimiter)。既然是分界符,那么形式自然不是固定的,这里可以将”EOF“可以进行自定义,但是前后的”EOF“必须成对出现且不能和shell命令冲突。其使用形式如下:
交互式程序(命令)<<EOF
command1
command2

EOF

1)例如登录Mysql并查询数据库脚本test.sh
mysql -u root -phehe123 << EOF
use mysql;
select user,host from user;
EOF
[root@vincent tmp]# ./test.sh 
user    host
root    %
root    127.0.0.1
    localhost
ids    localhost
root    localhost
    vincent
root    vincent

2)特殊用法:
: << COMMENTBLOCK
   shell脚本代码段
COMMENTBLOCK
用来注释整段脚本代码。 : 是shell中的空语句。
echo start
:<<COMMENTBLOCK
echo
echo "this is a test"
echo
COMMENTBLOCK
echo end
这段脚本执行时,中间部分不会被执行:
[root@newserver shell]# sh eof.sh
start
end

3)cat和eof结合使用具有追加功能
cat >> file.txt << EOF
123
456
EOF
[root@vincent tmp]# cat file.txt 
123
456

先说下if语句的简化,下面示例中会用到。

shell中的运算符有test、[]、[[]],新手很容易就搞混了,这其中是存在一些区别的。
test
和[]用法相同。示例如下:
[root@vincent ~]# test 10 -lt 20 -o 200 -gt 100 && echo 1
1
[]和[[]]:
使用[]和[[]]的时候每一项两边都要有空格。
[[]]比[]要强大,比如说:

1)[[]]支持字符串的模糊匹配
[[ $a == z* ]]    # 如果$a以"z"开头(模式匹配)那么将为true
[[ $a == "z*" ]] # 如果$a等于z*(字符匹配),那么结果为true
2)字符串的比较可以使用[],但是比较的变量需要用双引号引起来,或者使用[[]],不需要使用双引号引起来。
3)[]中如果整形的比较如果使用> <需要转义,[[]]中不需要转义。
[root@server120 tmp]# [ 1 > 0 ] && echo 1
1
[root@server120 tmp]# [ 1 > 2 ] && echo 1
1
[root@server120 tmp]# [ 1 \> 2 ] && echo 1
[root@server120 tmp]# [ 2 \> 1 ] && echo 1
1
4)[]中的逻辑运算可以使用-o -a,[[]]中可以使用&& ||
[root@server120 tmp]# [[ 1 = 1 && 2 > 1 ]] && echo 1
1
[root@server120 tmp]# [[ 1 = 1 && 1 > 1 ]] && echo 1
5)[[]]中可以使用数学运算
[root@server120 tmp]# [[ 1+1 > 2 ]] && echo 1
[root@server120 tmp]# [[ 1+1 > 1 ]] && echo 1
1

算数运算符
使用let
[root@Hehe tmp]# let result=1+2
[root@Hehe tmp]# echo $result
3
使用expr
a=10
b=20
val=`expr $a + $b`
echo “a + b : $val”

整数比较
关系运算符只支持数字,不支持字符串,除非字符串的值是数字。

-eq    检测两个数是否相等,相等返回 true。    [ $a -eq $b ] 返回 true。
-ne    检测两个数是否相等,不相等返回 true。    [ $a -ne $b ] 返回 true。
-gt    检测左边的数是否大于右边的,如果是,则返回 true。    [ $a -gt $b ] 返回 false。
-lt    检测左边的数是否小于右边的,如果是,则返回 true。    [ $a -lt $b ] 返回 true。
-ge    检测左边的数是否大等于右边的,如果是,则返回 true。    [ $a -ge $b ] 返回 false。
-le    检测左边的数是否小于等于右边的,如果是,则返回 true。    [ $a -le $b ] 返回 true。
<       小于(需要双括号),如:(("$a" < "$b"))
<=       小于等于(需要双括号),如:(("$a" <= "$b"))
>       大于(需要双括号),如:(("$a" > "$b"))
>=       大于等于(需要双括号),如:(("$a" >= "$b"))
if ( 2 > 1 );then
 echo 1
fi
执行结果为:
[root@localhost tmp]# ./1.sh
./1.sh: line 1: 2: command not found
if (( 2 > 1 ));then
 echo 1
fi
执行结果为:
[root@localhost tmp]# ./1.sh
1

if语句中常用的简化就是&&和||
[ 1 -eq 1 ] && echo “equal”
[ 1 -eq 2 ] || echo “not equal”
返回结果如下:
[root@server120 tmp]# ./test.sh
equal
not equal

布尔运算符
10 != 20 : a is not equal to b
10 -lt 100 -a 20 -gt 15 : returns true
10 -lt 100 -o 20 -gt 100 : returns true
10 -lt 5 -o 20 -gt 100 : returns false

布尔运算符列表

运算符    说明    举例
!    非运算,表达式为 true 则返回 false,否则返回 true。    [ ! false ] 返回 true。
-o    或运算,有一个表达式为 true 则返回 true。    [ $a -lt 20 -o $b -gt 100 ] 返回 true。
-a    与运算,两个表达式都为 true 才返回 true。    [ $a -lt 20 -a $b -gt 100 ] 返回 false

字符串运算符

运算符    说明    举例
=    检测两个字符串是否相等,相等返回 true。    [ $a = $b ] 返回 false。
==       同=
!=    检测两个字符串是否相等,不相等返回 true。    [ $a != $b ] 返回 true。
-z    检测字符串长度是否为0,为0返回 true。    [ -z $a ] 返回 false。
-n    检测字符串长度是否为0,不为0返回 true。    [ -z $a ] 返回 true。
str    检测字符串是否为空,不为空返回 true。    [ $a ] 返回 true。

测试脚本:
xx=”xx”
yy=””
[ “$xx” ] && echo “xx:True”
[ “$yy” ] || echo “yy:False”
返回结果如下:
xx:True
yy:False

文件测试运算符

-b file    检测文件是否是块设备文件,如果是,则返回 true。    [ -b $file ] 返回 false。
-c file    检测文件是否是字符设备文件,如果是,则返回 true。    [ -b $file ] 返回 false。
-d file    检测文件是否是目录,如果是,则返回 true。    [ -d $file ] 返回 false。
-f file    检测文件是否是普通文件(既不是目录,也不是设备文件),如果是,则返回 true。    [ -f $file ] 返回 true。
-g file    检测文件是否设置了 SGID 位,如果是,则返回 true。    [ -g $file ] 返回 false。
-k file    检测文件是否设置了粘着位(Sticky Bit),如果是,则返回 true。    [ -k $file ] 返回 false。
-p file    检测文件是否是具名管道,如果是,则返回 true。    [ -p $file ] 返回 false。
-u file    检测文件是否设置了 SUID 位,如果是,则返回 true。    [ -u $file ] 返回 false。
-r file    检测文件是否可读,如果是,则返回 true。    [ -r $file ] 返回 true。
-w file    检测文件是否可写,如果是,则返回 true。    [ -w $file ] 返回 true。
-x file    检测文件是否可执行,如果是,则返回 true。    [ -x $file ] 返回 true。
-s file    检测文件是否为空(文件大小是否大于0),不为空返回 true。    [ -s $file ] 返回 true。

创建一个空文件file

[root@server120 tmp]# touch file
[root@server120 tmp]# [ -s file ] && echo "NOT NULL" || echo "NULL"
NULL
[root@server120 tmp]# echo 1 > file
[root@server120 tmp]# [ -s file ] && echo "NOT NULL" || echo "NULL"
NOT NULL

-e file    检测文件(包括目录)是否存在,如果是,则返回 true。    [ -e $file ] 返回 true。

[root@vincent tmp]# [ -e file.txt ] && echo 1
1
[root@vincent tmp]# rm -f file.txt
[root@vincent tmp]# [ -e file.txt ] && echo 1
[root@vincent tmp]#

问题SHELL举例:

#!/bin/sh
Counter=0
ls /opt/src/ | while read LINE
do
let "Counter=Counter+1"
done
echo $Counter

该SHELL用于计算/opt/src/中有多少文件,但实际运行中无论/opt/src/下有多少文件,最后输出都是0。
经查,造成这个问题的原因是while循环位于管道中,这意味着在运行过程中,while循环实际是位于一个新的SHELL中的,while循环中的Counter变量和文件开头定义的Counter变量是两个不同的变量,所以while循环中所改变的值在while循环结束后无法保存下来。

解决办法:

#!/bin/sh
Counter=0
ls /opt/src/ > /tmp/t1.txt
while read LINE
do
let "Counter=Counter+1"
done < t1.txt
rm /tmp/t1.txt -f
echo $Counter