YaswanthKanderi/Incident-Response-Toolkit

GitHub: YaswanthKanderi/Incident-Response-Toolkit

这是一个基于 Python 的自动化事件响应工具，用于分析 Linux 系统日志并检测包括暴力破解和非法登录在内的多种安全威胁。

Stars: 0 | Forks: 0

# 🚨 Incident Response Toolkit ![Python](https://img.shields.io/badge/Python-3776AB?style=for-the-badge&logo=python&logoColor=white) ![Security](https://img.shields.io/badge/Security-Incident_Response-red?style=for-the-badge) ![Linux](https://img.shields.io/badge/Platform-Linux-FCC624?style=for-the-badge&logo=linux&logoColor=black) ![License](https://img.shields.io/badge/License-MIT-green?style=for-the-badge) **作者：** Yaswanth Kanderi | 拉筹伯大学，网络安全硕士 ## 📋 功能 - 🔎 **8 种威胁检测模式**，基于 regex - 🔴 **CRITICAL（严重）** — 接受来自外部 IP 的 root 登录 - 🟠 **HIGH（高）** — 暴力破解（同一 IP 5 次以上登录失败）、端口扫描活动 - 🟡 **MEDIUM（中）** — 无效用户尝试、sudo 滥用、段错误、OOM Kill - 🟢 **LOW（低）** — SSH 断开连接 - 🧹 **自动去重** — 按相同威胁类型和 IP 分组 - 📄 **JSON 事件报告**，包含时间戳 - 📊 **控制台汇总表**，按严重程度着色 ## 🚀 使用方法 ``` # 扫描默认 auth log python3 incident_response.py # 扫描自定义日志文件 python3 incident_response.py /var/log/syslog ``` ### 示例输出 ``` ============================================================ Incident Response Toolkit Author: Yaswanth Kanderi ============================================================ [*] Analysing: /var/log/auth.log [*] Lines read: 14823 ============================================================ INCIDENT REPORT — 2025-09-14 10:32:11 ============================================================ Total findings : 7 CRITICAL : 1 event(s) HIGH : 3 event(s) MEDIUM : 2 event(s) LOW : 1 event(s) ============================================================ [CRITICAL] Line 4521 | root_login | IP: 203.0.113.45 [HIGH ] Line 1203 | brute_force | IP: 198.51.100.12 [HIGH ] Line 8901 | port_scan | IP: 192.0.2.88 [MEDIUM ] Line 2344 | sudo_abuse | IP: N/A [*] Report saved → incident_report.json ``` ## 🕵️ 检测到的威胁模式 | 威胁 | 严重程度 | 模式 | |--------|----------|---------| | 暴力破解（5 次以上失败） | 🟠 HIGH | SSH 密码尝试失败 | | Root 登录 | 🔴 CRITICAL | 接受来自外部 IP 的 root | | 无效用户 | 🟡 MEDIUM | 未知用户名尝试 | | 端口扫描 | 🟠 HIGH | 连接被拒绝的洪泛 | | Sudo 滥用 | 🟡 MEDIUM | 异常的 sudo 命令执行 | | 段错误 | 🟡 MEDIUM | 应用程序崩溃信号 | | OOM Kill | 🟡 MEDIUM | 内存耗尽事件 | | SSH 断开连接 | 🟢 LOW | 异常断开连接 | ## 🛠️ 技术栈 - **Python 3** — 仅使用标准库 - `re` — 正则表达式威胁模式匹配 - `json` — 结构化报告输出 - `collections.defaultdict` — 基于 IP 的事件分组 - `datetime` — 带时间戳的报告 ## 📁 输出生成包含完整发现的 `incident_report.json`： ``` { "generated": "2025-09-14T10:32:11", "total": 7, "findings": [ { "line": 4521, "type": "root_login", "severity": "CRITICAL", "ip": "203.0.113.45", "raw": "Accepted password for root from 203.0.113.45 port 54321 ssh2", "timestamp": "2025-09-14T10:32:11" } ] } ``` ## ⚠️ 免责声明本工具仅供**授权的事件响应和教育用途**。请仅分析您有权访问的系统日志。 *由 [Yaswanth Kanderi](https://github.com/YaswanthKanderi) 构建 | 有志于成为网络安全分析师*

标签：AMSI绕过, BurpSuite集成, Homebrew安装, JSON报告, Linux系统管理, PE 加载器, Python, SSH安全, Sudo滥用监控, 免杀技术, 威胁检测, 安全告警, 应急响应工具, 开源安全工具, 无后门, 暴力破解检测, 端口扫描检测, 网络安全, 网络调试, 自动化, 逆向工具, 逆向工程平台, 速率限制, 隐私保护