emergency_response Linux应急响应工具集:一键式安全评估与可视化报告系统

admin 2025年7月9日01:52:14评论7 views字数 1005阅读3分21秒阅读模式

1、工具简介

一个用于Linux系统安全应急响应的工具集,包含一键式信息收集脚本和可视化报告查看器。该工具集能够快速收集系统安全相关信息,并通过基于规则的分析引擎对收集到的信息进行安全风险评估。

2、功能介绍

系统后门排查
1.UID为0的非root用户检测 2.可疑系统配置检查 3.异常系统文件检测
用户与登录检查
1.当前用户信息
 2.所有用户列表 
3.最近登录记录
4.登录失败记录
日志分析
1.系统日志错误
2.安全日志错误
网络检查
1.监听端口 
2.活动连接 
3.网络配置 
4.路由表 
5.可疑连接
进程检查
1.高CPU占用进程
2.可疑脚本进程
文件系统检查
1.SUID文件 
2.最近修改的文件
软件包检查
1.已安装软件包列表
持久化检查
1.自启动服务 
2.计划任务 
3.SSH公钥
4.启动项配置
系统完整性
1.关键二进制文件校验
2.系统文件完整性
恶意进程与提权点
1.可疑进程
2.可疑提权点
3.隐藏文件
规则引擎
1.基于YAML的规则配置系统,包含多个规则集

3、下载与安装

https://github.com/Rabb1tQ/emergency_response

4、使用教程

将工具包拷贝到受害机器上,运行emergency_response.sh脚本,脚本会在当前目录生成格式如 emergency_report_YYYYMMDD_HHMMSS.txt 的报告文件。

emergency_response Linux应急响应工具集:一键式安全评估与可视化报告系统
emergency_response Linux应急响应工具集:一键式安全评估与可视化报告系统

安装requirement.txt的环境后,运行rules_engine.py。

emergency_response Linux应急响应工具集:一键式安全评估与可视化报告系统

访问emergency_report_viewer.html,导入脚本跑完的结果emergency_report_YYYYMMDD_HHMMSS.txt。

emergency_response Linux应急响应工具集:一键式安全评估与可视化报告系统

python脚本会一起分析脚本内容,并在发现可疑点后进行返回。

emergency_response Linux应急响应工具集:一键式安全评估与可视化报告系统

可指定关键字进行检索。

emergency_response Linux应急响应工具集:一键式安全评估与可视化报告系统
emergency_response Linux应急响应工具集:一键式安全评估与可视化报告系统

5、工具补充说明

工具兼容性方面:

  • python环境要求:脚本适用python3.X
  • 操作系统:支持主流Linux发行版(Ubuntu、Debian、CentOS等)
  • 权限要求:需要root权限
  • 浏览器要求:支持现代浏览器(Chrome、Firefox、Edge等)

6、注意事项

  • 脚本需要root权限才能收集完整信息。
  • 部分命令在不同发行版中可能不可用,脚本会自动跳过。
  • 报告查看器需要现代浏览器支持。
  • 建议定期更新规则库以适应新的安全威胁。

原文始发于微信公众号(solar应急响应团队):【应急响应工具教程】Linux应急响应工具集:一键式安全评估与可视化报告系统

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年7月9日01:52:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   emergency_response Linux应急响应工具集:一键式安全评估与可视化报告系统http://cn-sec.com/archives/4232815.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息