linuxlat/linux-persistence-detector

# Linux Persistence Detector 轻量级 Linux 应急响应工具，旨在检测系统遭受入侵后常用的持久化机制。 项目由 Linux Audit Team 开发 https://linux.lat # Linux Persistence Detector v5.1 **Linux Persistence Detector** 是一个基于 Bash 的取证与安全审计工具，用于扫描 Linux 系统中常见的**持久化机制、攻击者痕迹和隐蔽技术**。 该工具专注于检测现代威胁研究和框架中描述的**后渗透持久化技术**。 项目地址：https://linux.lat # 脚本总体概览 (v5.1) 版本 **5.1** 提供了一个全面的检测框架，专为 **Linux 系统的后入侵审计**而设计。 该脚本执行广泛的检查，针对攻击者、恶意软件和红队工具使用的持久化载体。它分析系统配置、启动机制、权限提升路径和 Shell 活动痕迹。 该工具的主要特点包括： * 覆盖多种持久化技术的广泛检测 * 利用上下文过滤实现低噪输出 * 结构化的结果输出，便于分析和自动化 * 兼容现代 Linux 发行版 * 作为单个 Bash 脚本简单部署 该工具适用于： * 应急响应 * 威胁狩猎 * 安全审计 * 后入侵调查 * 蓝队防御分析 # 核心优势 Linux Persistence Detector v5.1 作为一款开源防御审计工具，已达到成熟水平。 ## 与现代威胁研究紧密对齐的覆盖范围 (2025–2026) 该检测器覆盖了一系列与现代 Linux 威胁研究中描述的技术相一致的持久化机制，包括： * Elastic Security 研究系列，如 **"Hooked on Linux"** 和 **"Grand Finale"** * PANIX 对手模拟框架模拟的持久化技术 * 在真实入侵事件中观察到的已知 Linux 后渗透技术 覆盖范围包括以下方面的持久化载体： * cron jobs * systemd 服务和计时器 * 用户级 systemd 服务 * Shell 初始化文件 * PAM 模块 * 内核模块 * SSH 密钥篡改 * 动态链接器配置 * Boot loader 修改 * 计划执行机制 ## 受控的噪音与实用性检测 该工具优先关注**高价值信号**，同时最大限度地减少噪音。 关键过滤机制包括： * `--since-days` 过滤近期活动 * 可疑模式匹配 * 基于阈值的检测（例如：拥有超过 5 个授权密钥的 SSH 账户） * 文件大小阈值 * 选择性 grep 模式扫描 * 过滤常见的良性条目 这种方法有助于在保留有意义的警报的同时减少误报。 ## 结构化输出 发现结果内部存储在 **ALERTS 数组**中，允许脚本生成适合分析的结构化输出格式。 输出格式包括： ### JSON 输出 * 警报经过安全转义 * 正确处理空数组 * 结构化字段允许与日志分析工具集成 示例结构： ``` { "alerts": [ "Suspicious systemd service detected", "User bash history cleared recently" ] } ``` ### CSV 输出 还提供轻量级 CSV 导出，用于简单的报告和电子表格分析。 可以包含时间戳和系统信息等元数据。 ## 清晰的日志架构 脚本使用以下方式实现清晰的日志记录机制： * 专用日志函数 * `tee` 用于实时终端输出和日志记录 * 集中日志文件 这确保了**交互式可用性和取证记录保存**。 ## 合理的可移植性 Linux Persistence Detector 旨在以最少的依赖项在广泛的 Linux 系统上运行。 该脚本主要依赖： * Bash * coreutils * grep * awk * 标准 Unix 实用程序 它适用于大多数主流发行版。 但是，在以下环境中可能存在一些限制： * Alpine Linux * 基于 BSD 的环境 * 精简容器 这些环境可能需要微调。 # 高价值安全检查 版本 5.1 引入了几个**高价值持久化检测模块**，显著提高了覆盖率。 ### Systemd 用户服务 检测安装在以下位置的持久化： ``` ~/.config/systemd/user/ ``` 这种技术经常被攻击者使用，因为它在**不需要 root 权限**的情况下运行。 ### 可疑的 udev 规则 扫描以下位置中的恶意或异常规则： ``` /etc/udev/rules.d/ ``` 攻击者有时会使用 udev 触发器在检测到设备时执行 Payload。 ### GRUB 和启动持久化 检测可疑或最近修改的 Bootloader 组件，例如： * GRUB 配置更改 * 可疑的启动参数 * 最近修改的启动脚本 启动持久化虽然罕见，但影响极大。 ### PAM 模块滥用 检测身份验证堆栈中的可疑 `pam_exec` 条目或异常 PAM 模块。 攻击者可以滥用 PAM 在登录事件期间执行命令。 ### 内核模块异常 检查已加载的内核模块和配置路径，以识别可能表明以下情况的异常模块： * Rootkit * 隐蔽持久化 * 权限提升辅助工具 ### 计划执行机制 检测隐藏或可疑的计划执行路径： * cron jobs * at jobs * systemd 计时器 这些机制经常用于**周期性持久化执行**。 ### 动态链接器篡改 扫描以下位置： ``` /etc/ld.so.conf.d/ ``` 攻击者有时会添加由动态链接器自动加载的恶意库。 ### Bash 历史记录清除检测 脚本还通过分析以下内容来检测隐藏攻击者活动的可能尝试： * 已清空的 `.bash_history` 文件 * 异常小的历史记录文件 * 没有相应历史记录更新的近期 Shell 会话 * 历史记录时间戳配置 这可以揭示在入侵后**清除命令痕迹**的尝试。 # MITRE ATT&CK 映射 该检测器主要关注与 **Persistence (TA0003)** 相关的技术。 映射技术示例包括： | Technique | Description | | --------- | ------------------------------------- | | T1053.003 | Cron 计划任务 | | T1543.002 | Systemd 服务持久化 | | T1546.004 | Unix Shell 配置修改 | | T1548.001 | Setuid / Setgid 滥用 | | T1037 | 启动或登录初始化脚本 | | T1098 | 账户篡改 (SSH 密钥) | 这些映射有助于分析师将发现结果与标准化的威胁情报框架相关联。 # 已测试平台 Linux Persistence Detector v5.1 已在以下平台测试： * Ubuntu 24.04 LTS * Ubuntu 25.04 * Debian 12 * Debian 13 * AlmaLinux 9 * Rocky Linux 9 * Kali Linux * Linux Mint 由于该脚本依赖于标准 Unix 工具，它应该可以在大多数 Linux 发行版上运行。 # 与其他工具的比较 ## 对比 PANIX PANIX 旨在**模拟持久化攻击**以进行红队测试。 Linux Persistence Detector 则专注于**检测真实的持久化痕迹**。 ## 对比 OSQuery / Fleet OSQuery 通过结构化查询提供**持续监控**，而 Linux Persistence Detector 专为**快速取证系统审计**而设计，无需安装 Agent。 ## 对比 Wazuh / Elastic Detection Rules Wazuh 和 Elastic 作为**全面的安全监控平台 (SIEM/EDR)** 运行。 Linux Persistence Detector 通过提供以下功能作为补充： * 独立的应急响应扫描 * 轻量级取证检查 * 无需基础设施的轻松部署 # 用法 克隆仓库： ``` git clone https://github.com/linuxlat/linux-persistence-detector.git cd linux-persistence-detector/ ``` 赋予脚本执行权限： ``` chmod +x persistence-detector.sh ``` 运行扫描： ``` sudo ./persistence-detector.sh ``` # 许可证 GNU GPL v3 # 作者 Linux Audit Team https://linux.lat # 安全免责声明 此工具旨在**用于防御性安全研究、审计和应急响应**。 在扫描系统之前，请务必确保您已获得授权。

标签：Burp Suite 替代, CIDR输入, CSV导出, DAST, Forensics, Google搜索, Incident Response, Persistence, Webshell检测, 后渗透检测, 库, 应急响应, 应用安全, 恶意软件分析, 持久化检测, 服务器监控, 特权升级, 系统加固, 结构化查询, 自动化安全, 轻量级工具