一款批量Linux应急响应检查工具

fireman

简介

fireman用于在维护多台服务器并且需要定时检查服务器状态的场景下。使用自带命令可一键获取相关资源信息，排查服务器是否存在可疑用户、非法外连、文件更改等高危事件。

使用

res模块

用于管理资源信息

添加资源

• 编辑资源信息

  编写Source.yaml文件，可一次添加多个资源，模板如下：

  在连接资源时优先使用证书连接，如果证书解析错误再尝试使用密码连接

workspace: #资源名称  ip: 192.168.196.143  #资源IP  port: 22  #资源端口  protocol: SSH #资源连接协议  user: liuxinyu  #资源登陆用户  passwd: #资源登陆密码  keyfile: ./static/WorkSpace_id_rsa #资源登陆证书
workspaceTwo: #资源名称  ip: 192.168.196.144  #资源IP  port: 22  #资源端口  protocol: SSH #资源连接协议  user: liuxinyu  #资源登陆用户  passwd: qwe123!! #资源登陆密码  keyfile:  #资源登陆证书

• 添加资源到数据

fireman.exe res add -f Source.yaml

修改资源

• 修改资源密码

fireman.exe res update -i 192.168.196.144 -u liuxinyu -w lkjuio890!!

• 修改资源证书

fireman.exe res update -i 192.168.196.144 -u liuxinyu  -k ./static/test_id_rsa

• 置空密码或者证书

fireman.exe res update -i 192.168.196.144 -u liuxinyu -w " " fireman.exe res update -i 192.168.196.144 -u liuxinyu -k " "

如果密码或者证书已经存在无法重复添加。

查询资源

fireman.exe res query -i 192.168.196.144 -u liuxinyu
#-i或者-u条件可以单独存在#ID:2    Name:workspace  IP:192.168.196.143      Port:22 Protocol:SSH    User:liuxinyu   Passwd:liuliu228@       KeyFile:

删除资源

fireman.exe res del -d 资源ID值

run模块

命令执行模块​​​​​​​

(base) PS E:\MyGoWorkSpace\fireman> .\fireman.exe run
███████╗██╗██╗     ███████╗███╗   ███╗ █████╗ ███╗   ██╗██╔════╝██║██║     ██╔════╝████╗ ████║██╔══██╗████╗  ██║█████╗  ██║██║     █████╗  ██╔████╔██║███████║██╔██╗ ██║██╔══╝  ██║██║     ██╔══╝  ██║╚██╔╝██║██╔══██║██║╚██╗██║██║     ██║███████╗███████╗██║ ╚═╝ ██║██║  ██║██║ ╚████║╚═╝     ╚═╝╚══════╝╚══════╝╚═╝     ╚═╝╚═╝  ╚═╝╚═╝  ╚═══╝作者：xiaoliu   版本：1.0
>>>use                                    选择需要执行命令的资源，示例：use ID1,ID2;                       use all                                选择资源库中的所有资源                                           use ?                                  显示数据库中的全部资源                                           cmd                                    需要执行的命令，示例：cmd ip a                                   cmd [CMD] sudo                         在已有命令模块后跟上sudo，尝试提权执行命令                       cmd User                               查询可登陆系统的用户

交互式的命令执行，可单项排查，也可以一键排查所有项，相关命令如下：​​​​​​​

    {Text: "cmd User", Description: "查询可登陆系统的用户"},    {Text: "cmd User empty", Description: "查询密码为空的用户"},    {Text: "cmd Cron", Description: "检查所有用户的定时任务"},    {Text: "cmd History", Description: "检查所有用户的敏感历史命令"},    {Text: "cmd Network", Description: "检查机器网络监听和连接情况"},    {Text: "cmd Pid [PID]", Description: "根据pid获取进程路径等信息"},    {Text: "cmd SSH FIP", Description: "查看SSH登录失败的IP地址"},    {Text: "cmd SSH FUSER", Description: "查看SSH登录失败的用户名称"},    {Text: "cmd SSH SIP", Description: "查看SSH登录成功的IP地址"},    {Text: "cmd SSH SINFO", Description: "查看SSH登录成功的日期、用户名、IP"},    {Text: "cmd Find Cron [day]", Description: "查看系统各个级别定时任务目录中，n天内被修改的文件（参数为天数）"},    {Text: "cmd Find StartUp [day]", Description: "查看系统启动项目录中，n天内被修改的文件（参数为天数）"},    {Text: "cmd Find OS [day]", Description: "查看系统重要目录中，n天内被修改的文件（参数为天数）"},    {Text: "cmd Find Time [path [day [postfix]]]", Description: "查看系统中指定时间内的文件的修改"},    {Text: "cmd Find perm [path [perm [postfix]]]", Description: "查看系统中指定时间内存在修改的具有特定权限的文件"},    {Text: "checkAll time=[] path=[]", Description: "执行所有检查项，time用于指定时间的项，path用于需要指定路径的项"},

需要将命令信息输出为csv文件，请用以下命令

set OutPath [输出路径]

注意项：

• 输出文件中 \n 换行字符被替换成了 + 字符，在后续查看中可替换回 \n 字符。

• 如果命令执行后的回显信息为 [sudo] liuxinyu 的密码： 或类似信息，则标识该项命令排查信息为空

文件扫描功能

webShellScan [targetDir]

使用yara软件进行文件扫描，程序会将扫描引擎和扫描规则文件 .\static\webshellscan_linux.zip 上传到机器的 /tmp 目录下​​​​​​​

webshellscan_linux├── rules.yar├── webshells│   ├── WShell_APT_Laudanum.yar│   ├── WShell_ASPXSpy.yar│   ├── WShell_Drupalgeddon2_icos.yar│   ├── WShell_PHP_Anuna.yar│   ├── WShell_PHP_in_images.yar│   └── WShell_THOR_Webshells.yar└── yara

如果需要自定义规则，需要注意以下几点

• 压缩包名称不能更改

• 扫描引擎的yara名称不能更改

• 扫描引擎yara的规则入口文件为 rules.yar

也可以直接使用cmd /tmp/yara [parameter]去执行特定的扫描任务

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

• 2023届全国高校毕业生预计达到1158万人，就业形势严峻；

• 国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

如果你对网络安全入门感兴趣，那么你点击这里 ????

如果你对网络安全感兴趣，学习资源免费分享，保证100%免费！！！（嘿客入门教程）

1.成长路线图&学习规划

要学习一门新的技术，作为新手一定要 先学习成长路线图 ， 方向不对，努力白费 。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

2.视频教程

很多朋友都不喜欢晦涩的文字，我也为大家准备了视频教程，其中一共有21个章节，每个章节都是当前板块的精华浓缩。

3.SRC&黑客文籍

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍：

黑客资料由于是敏感资源，这里不能直接展示哦！

4.护网行动资料

其中关于HW护网行动，也准备了对应的资料，这些内容可相当于比赛的金手指！

5.黑客必读书单

6.面试题合集

当你自学到这里，你就要开始思考找工作的事情了，而工作绕不开的就是真题和面试题。

更多内容为防止和谐，可以扫描获取~

需要全套共 282G 的《 网络安全&黑客技术零基础到进阶全套学习大礼包 》，可以 扫描下方二维码免费领取 ！

如果你有需要可以点击 ????