Thomas-Busch-Waterloo/linux-ir-toolkit

# Linux 应急响应工具包 **面向 Linux 管理员的开源应急响应实用工具包。** 为 [KWLUG](https://kwlug.org/)（Kitchener-Waterloo Linux 用户组）关于 Linux 管理员应急响应的演讲而构建。克隆仓库，运行设置脚本，您就拥有了一个在凌晨 2 点出问题时刻可以使用的入门级应急响应工具包。 ## 快速开始 ``` # 克隆 repo git clone https://github.com/your-username/linux-ir-toolkit.git cd linux-ir-toolkit # 运行 setup 脚本（下载 tools，设置 directories） chmod +x setup.sh sudo ./setup.sh # 或者直接获取 cheat sheet cat cheatsheets/ir-commands.md ``` ## 包含内容 ``` linux-ir-toolkit/ ├── setup.sh # Main setup script: installs tools & builds USB structure ├── README.md # You are here ├── LICENSE # MIT │ ├── tools/ │ ├── static-bins/ # Static binaries (populated by setup.sh) │ │ └── README.md # What goes here and why │ └── scripts/ │ ├── ir-triage.sh # Automated initial triage: captures volatile data │ ├── capture-memory.sh # Memory acquisition wrapper (LiME) │ ├── network-snapshot.sh # Network state capture │ └── file-integrity.sh # Quick file integrity check against known-good hashes │ ├── configs/ │ ├── wazuh/ │ │ ├── docker-compose.yml # Single-node Wazuh deployment │ │ └── ossec.conf.example # Tuned agent config │ ├── suricata/ │ │ └── suricata.yaml.example # Basic IDS config with community rules │ └── ossec/ │ └── ossec.conf.example # Standalone OSSEC config │ ├── cheatsheets/ │ ├── ir-commands.md # Printable IR command reference │ ├── volatility-cheatsheet.md # Volatility 3 quick reference │ └── log-locations.md # Where to find logs on common distros │ ├── runbooks/ │ ├── cryptominer.md # Response procedure for cryptominer infections │ ├── web-shell.md # Response procedure for web shell discovery │ ├── ransomware.md # Response procedure for ransomware │ └── unauthorized-access.md # Response procedure for unauthorized SSH access │ ├── samples/ │ ├── ioc-list.csv # Example IOC tracking spreadsheet │ └── incident-report-template.md # Post-incident report template │ └── docs/ ├── TOOLKIT-GUIDE.md # How to build and maintain your IR USB ├── WAZUH-QUICKSTART.md # Get Wazuh running in 30 minutes └── RESOURCES.md # Links to frameworks, training, communities ``` ## 理念 1. **您熟悉的简单工具胜过复杂的陌生工具。** 本工具包专注于标准 Linux 工具和成熟的开源项目。 2. **静态二进制文件很重要。** 如果攻击者拥有 root 权限，他们可能已经用木马版本替换了 `ls`、`ps`、`netstat`。您的工具包应包含自己的可信副本。 3. **记录一切。** 事件期间运行的每个命令都是证据。分类脚本会自动记录其输出。 4. **事前多练习。** 先在干净的系统上运行这些脚本。了解什么是"正常"状态。 ## 工具包概览 | 类别 | 工具 | 用途 | |----------|-------|---------| | **检测** | Wazuh、Suricata、OSSEC | 监控、告警、检测 | | **分析** | Volatility、Autopsy、YARA | 调查、分析、识别 | | **管理** | TheHive、MISP、Cortex | 跟踪、共享、丰富 | ## 开始使用 ### 今晚（15 分钟） - [ ] 克隆此仓库 - [ ] 在备用虚拟机上运行 `setup.sh` - [ ] 打印 [IR 命令速查表](cheatsheets/ir-commands.md) - [ ] 通读一本 [运行手册](runbooks/) ### 本周（几小时） - [ ] 使用 [工具包指南](docs/TOOLKIT-GUIDE.md) 构建可启动 USB - [ ] 使用 [快速入门指南](docs/WAZUH-QUICKSTART.md) 部署 Wazuh - [ ] 在干净的系统上运行 `ir-triage.sh` 以查看基线输出 ### 本月（周末项目） - [ ] 添加 Suricata 进行网络监控 - [ ] 为您的特定环境编写运行手册 - [ ] 与团队进行桌面演练 ## 框架参考 本工具包符合 **NIST SP 800-61** 应急响应生命周期： 1. **准备** → `setup.sh`、工具包 USB、运行手册 2. **识别** → Wazuh 告警、分类脚本、速查表 3. **遏制** → 网络隔离命令、防火墙规则 4. **根除** → 恶意软件清除、修补程序 5. **恢复** → 恢复程序、完整性验证 6. **经验教训** → 事件报告模板、复盘指南 ## 贡献指南 欢迎提交 Pull Request。如果您有有用的 IR 脚本、更好的配置或我们未覆盖的场景的运行手册，请提交 PR。保持实用性和良好的文档记录。 ## 许可证 MIT。允许使用、修改和共享。详见 [LICENSE](LICENSE)。 ## 致谢 - [NIST SP 800-61](https://csrc.nist.gov/pubs/sp/800/61/r2/final)：计算机安全事件处理指南 - [SANS 事件处理手册](https://www.sans.org/white-papers/33901/)：实用 IR 参考 - [MITRE ATT&CK for Linux](https://attack.mitre.org/matrices/enterprise/linux/)：对手战术和技术 - [KWLUG](https://kwlug.org/)：感谢社区和构建此工具包的契机

标签：AMSI绕过, Cheatsheet, Cutter, forensics, HIDS, Incident Response, IR Toolkit, KWLUG, LiME, Metaprompt, OSSEC, PB级数据处理, Runbook, SecList, Suricata, Wazuh, 二进制发布, 内存取证, 威胁检测, 子域名枚举, 安全运维, 库, 应急响应, 应用安全, 开源工具, 数字取证, 文件完整性, 现代安全运营, 系统安全, 网络安全, 自动化脚本, 请求拦截, 隐私保护