网站建设、公众号开发、微网站、微商城、小程序就找牛创网络 !

7*24小时服务专线： 152-150-65-006 023-68263070 扫描二维码加我微信

系统工具团结互助，让我们共同进步！

当前位置：主页 > 技术资讯 > 工具 > 系统工具 >

我们的优势： 10年相关行业经验，专业设计师量身定制设计师一对一服务模式，上百家客户案例！企业保证，正规流程，正规合作 7*24小时在线服务，售后无忧

TuxResponse：用Bash语言开发和编写，响应Linux系统平台的事件响应脚本，自动化的形式，快速对系统中的安全紧急事件进行分类

文章来源：重庆网络安全围观次数：

分享到:

摘要：用Bash语言开发和编写，响应Linux系统平台的事件响应脚本。它以自动化的形式执行各种事件响应任务，从而帮助安全分析师快速对系统中的安全紧急事件进行分类。

用Bash语言开发和编写，响应Linux系统平台的事件响应脚本。它以自动化的形式执行各种事件响应任务，从而帮助安全分析师快速对系统中的安全紧急事件进行分类。研究人员只需按一下按钮，即可完成10条命令的输入和测试。

当前版本的TuxResponse已在Ubuntu 14和CentOS 7上进行了测试。

功能特点

1.利用Linux的内置工具和各种功能，包括但不限于dd，awk，grep，cat和netstat。

2.减少了事件响应工具所需的命令数量。

3.自动化任务。

除了Linux的内置工具或功能组件之外，TuxResponse还引入了以下外部工具包：

-LiME

-Exif

-Chckrootkit

-Yara + Linux扫描规则

工具下载

用户可以使用以下命令将项目代码直接克隆到本地：

git clone https://github.com/la3ar0v/TuxResponse.git

工具使用示例

INSTALL LiME

function init_lime(){

if [ -f /usr/bin/yum ]; then

yum -y install make kernel-headers kernel-devel gcc

elif [ -f /usr/bin/apt-get ]; then

apt-add-repository universe

apt-get -y install make linux-headers-$(uname -r) gcc

rm -f /tmp/v1.8.1.zip

wget -P/tmp https://github.com/504ensicsLabs/LiME/archive/v1.8.1.zip

unzip /tmp/v1.8.1.zip

rm -f /tmp/v1.8.1.zip

pushd LiME-1.8.1/src

make

mv lime-*.ko /tmp/lime.ko

popd

rm -rf LiME-1.8.1

}

功能

一.实时响应

（1）足迹系统

System info, IP, Date, Time, local TZ, last boot - 'hostnamectl; who -b; uname -a; uptime; ifconfig; date; last reboot'

（2）文件系统工具

'df -h'：检查挂载的文件系统-

'find /usr/bin -type f -exec file "{}" \; | grep -i "elf" | cut -f1 -d: | xargs -I "{}" -n 1 md5sum {}'：可执行文件哈希 (MD5)

'modified_files_period_select' (调用tuxresponse.sh中的函数)：修改文件

'find / -type d -name "\.*"'：枚举所有的隐藏目录

'find / $ -nouser -o -nogroup $ -exec ls -l {} \; 2>/dev/null'：枚举无用户/组名的文件/目录

'packaged_files_changed' (calling a function in tuxresponse.sh)：修改包内文件

（3）YARA，CHKROOTKIT，EXIFTool

'chkrootkit'：检查rootkit

'yara_select'：Yara扫描

'exiftool_select'：EXIFTool

（4）加工分析工具

'ps -axu'：枚举正在运行的进程

'ls -alR /proc/*/exe 2> /dev/null | grep deleted'：删除仍在运行的代码

'ss -tunap | sed "s/[ \t]\+/|/g"'：活动网络连接-TCP或UDP

'dump_process_select'：根据PID导出进程信息

'ls -alR /proc/*/cwd 2> /dev/null | grep -E "tmp|dev"'：从/tmp或/dev运行进程

（5）网络连接分析

'netstat -nalp; netstat -plant'：枚举所有活动的网络连接/元套接字

（6）用户

“ W”：枚举当前连接的用户

“ Getent passwd”：使用密码获取用户信息

（7）Bash

'cat ~/.bash_history | nl'：检查Bash历史文件

（8）永久痕迹

'list_all_crontab'：枚举所有Cron任务

'list_all_onstartup'：枚举所有自启动器

（9）导出所有日志（/ var / log）

'cat_all_bash_history'：导出用户的.bash_history

'grep [[：cntrl：]] /var/log/*.log'：查找日志

其次，建立连接，使用SSH传输脚本并分析远程系统

此选项使您可以连接到远程系统，复制所有脚本和工具以及分析系统。

三，导出内存（LKM LiME）

此选项使我们能够从源代码编译LiME，并将RAM内存转储到系统外部，这是最简单的方法。因为另一种方法是从源代码编译所有主要的内核版本并插入LKM。

四，获取磁盘镜像（DD）

此选项可以帮助我们使用众所周知的工具-dd获取目标系统的完整磁盘映像。此函数将源地址和目标地址作为参数，并将它们插入以下命令：

'dd if = $ {image_in} pv | dd of ='$ {image_OUT}'bs = 4K conv = noerror，sync'

如果要研究和分析远程系统，则脚本首先会在远程系统上复制自身。如果设置参数$ {TARGET_HOST}，脚本将使用以下命令将图像下载到分析系统

>>“ssh-p${TARGET_PORT}${TARGET_USER}@${TARGET_HOST}”dd if=${image_IN}bs=4K conv=noerror，sync'{pv|dd of='${image_OUT}'

注意：使用pv可以帮助我们跟踪进度。

五，生成HTML报告

我们所有的操作记录和分析结果都将存储在一个文本文件中，因此我们可以轻松地返回并查看输出。这样做的好处是我们可以将其上传到任何日志分析工具中，并在以后进行解析。此外，我们可以使用此功能以HTML格式生成分析报告，并以更易读的形式查看该工具生成的事件响应结果。

本文由重庆网络安全整理发布,转载请保留出处，内容部分来自于互联网，如有侵权请联系我们删除。

上一篇：Turbolist3r:子域名发现工具sublist3r的分支，具有资源信息收集功能和子域名发现的自动分析功能。
下一篇：WindowsFirewallRuleset：Windows防火墙规则集的一组PowerShell脚本

关于我们

重庆牛创网络科技有限责任公司是一群技术强大、思维活跃、拥有创新精神的年轻人创立，公司致力于为企业提供全面、周到、专业的互联网解决方案，提供网站建设、网络推广、网络安全审计、wifi营销认证、网站运营维护、域名注册、虚拟主机、企业邮局、企业形象设计等多种信息产品和服务。

联系我们

公司电话： 023—68263070
办公地址：重庆市北碚区金华路399号
邮箱：120481297@qq.com
技术咨询：15215065006

“互联网+”方案

重庆网站建设

备案图标渝ICP备19004889号-1 渝公网安备 50010902000896号

行业安全认证

系统工具团结互助，让我们共同进步！

TuxResponse：用Bash语言开发和编写，响应Linux系统平台的事件响应脚本，自动化的形式，快速对系统中的安全紧急事件进行分类

热门资讯

关于我们

联系我们

“互联网+”方案