免责声明:本文仅做技术分享,使用该工具前请确保已获得合法授权,切勿用于未授权的系统检测。
该工具为一款面向Linux系统的自动化安全检查与应急响应脚本,核心功能覆盖81项安全检测项目。脚本以bash编写,兼容Ubuntu、CentOS 7、Kali等主流Linux发行版,通过一键执行方式完成系统安全状态全面体检。

检测超级用户、空口令账户、新增用户、新增用户组。提取/etc/passwd与/etc/shadow进行自动化分析,识别权限异常账户。
遍历所有用户家目录.ssh/authorized_keys文件,排查未授权登录公钥残留。
分析/etc/sudoers配置,标记具有NOPASSWD权限的特殊用户。
校验/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow文件权限,发现权限篡改。
扫描系统中正在监听的TCP/UDP端口,结合lsof工具输出详细进程信息。
监控ESTABLISHED连接,识别可疑外部通信。
分析auth.log、secure日志,统计root账户Failed password次数与来源IP。
通过ps aux检测状态为S/D的隐藏进程,识别procfs挂载点异常。
基于特征字符串匹配netstat输出,检测nc、netcat、socat等常见反弹shell工具。
检查.bashrc、.bash_profile、.profile中的恶意alias定义。
扫描~/.ssh/config与~/.ssh/authorized_keys,识别包含可疑命令的SSH配置。
将所有运行中进程的对应可执行文件复制至webshell/目录,供沙箱检测。

计算/bin、/usr/bin目录下所有命令文件的MD5值,生成CSV报告用于威胁情报对比。
通过微步威胁情报平台API批量查询MD5,快速定位被篡改的系统命令。
解析/etc/crontab及/etc/cron.d/目录,识别可疑定时下载与脚本执行。
检查/var/spool/cron/与/var/spool/cron/crontabs/下的用户级定时任务配置。
使用正则匹配chmod、useradd、wget、curl等高危操作结合脚本后缀的定时任务。
自动将/var/log/目录完整打包,支持zip与tar.gz格式。
提取Accepted password、Failed password、新增用户组事件,统计登录成功/失败的IP与用户排名。
分析btmp(错误登录)、lastlog(最后登录)、wtmp(历史登录)、message(文件传输)、cron(定时任务执行)等日志。

输出CPU与内存使用率TOP 5进程,标记超过20%阈值的异常进程。
查找7天内具有执行权限的变更文件,定位24小时内的脚本文件变动。
检查init.d服务、systemd自启动项、chkconfig自启动服务,识别可疑启动项。
支持iptables、ufw、firewalld、nftables四种防火墙配置检查,标记any到any放行策略。
提供常用手敲命令速查手册,覆盖用户定位、网络连接、文件变更、后门类型、日志分析、内存马排查等场景。
记录真实应急响应案例,包括打印机异常事件、挖矿木马排查等场景的经验总结。
bash# 必须使用root权限运行
sudo bash Ashro_linux.sh
执行后生成目录/tmp/Ashro_时间戳/,包含以下内容:
| 文件/目录 | 说明 |
|---|---|
danger_file.txt |
高危检测结果汇总 |
Ashro_checkresult.txt |
完整执行日志 |
check_file/ |
MD5校验文件与命令篡改结果 |
webshell/ |
进程可执行文件备份 |
log/ |
打包的系统日志 |

本公众号非项目作者,仅做技术分享。
本文介绍的项目开源地址如下:
bashhttps://github.com/Ashro-one/Ashro_linux
低价考证包括但不限于CISP系列、PMP等等国内网安证书、网络安全交流群请关注公众号后点菜单栏的找棉花糖。
糖心会员站,网络安全必备网站,包括在线内网靶场、web靶场、src靶场、应急响应靶场,以及各种网安资料、教程、方案模版、以及超级多在线工具,99元包年!详细介绍:棉花糖会员站介绍(26年4月26日版本) :在线内网靶场、网安资料方案、在线工具全能资源站,看完介绍百分百心动!