在Linux或Windows服务器中,当我们遇到勒索或挖矿病毒时,如何快速地找到对应的文件呢?D-Eyes是绿盟科技推出的一款检测与响应工具,支持勒索挖矿病毒及WebShell等恶意样本排查检测,辅助安全工程师应急响应时排查入侵痕迹,定位恶意样本。现在我们来看看它的使用方法。
安装
你可以直接在作者的项目Releases中下载D-Eyes。
项目地址https://github.com/m-sec-org/d-eyes_1.1.0.zip
![图片[1]-挖矿与WebShell响应工具:D-Eyes 的优化与应用-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/02/20240228143231158-image.png)
![图片[2]-挖矿与WebShell响应工具:D-Eyes 的优化与应用-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/02/20240228143242921-image.png)
下载完成后,我们在Linux中运行:
./D-Eyes -h
![图片[3]-挖矿与WebShell响应工具:D-Eyes 的优化与应用-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/02/20240228143250155-image.png)
使用
文件扫描
- 默认扫描(扫描全部磁盘):
./D-Eyes fs
- 指定线程扫描:
./D-Eyes fs -t 8
- 指定目录和线程:
./D-Eyes fs -P /kali-t 8
进程扫描
- 默认扫描:
./D-Eyes ps
- 指定pid:
./D-Eyes ps -p 8888
![图片[4]-挖矿与WebShell响应工具:D-Eyes 的优化与应用-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/02/20240228143259685-image.png)
查看主机信息
./D-Eyes host
![图片[5]-挖矿与WebShell响应工具:D-Eyes 的优化与应用-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/02/20240228143306606-image.png)
查看前15个进程
./D-Eyes top
![图片[6]-挖矿与WebShell响应工具:D-Eyes 的优化与应用-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/02/20240228143313399-image.png)
Linux主机自检
在Linux中,我们只需执行以下命令,即可实现对Linux主机的空密码账户检测、SSH Server wrapper检测、SSH用户免密证书登录检测、主机Sudoer检测、alias检测、Setuid检测、SSH登录爆破检测。
./D-Eyes sc
自定义规则
在D-Eyes工具目录下的子目录yaraRules中,我们可以自定义规则,支持中国菜刀、Weevely、蚁剑、冰蝎等常见工具的WebShell脚本的检测。
© 版权声明
THE END
暂无评论内容