JonesB101/linux-incident-response-triage

# 自定义 Linux 事件响应分类工具 (Bash) ## 🛠️ 项目概述 当 Linux 资产可能遭到入侵时，事件响应人员必须在攻击者清除日志或关闭主机之前，迅速收集易失性证据（网络状态、内存进程字符串和持久化机制）。 本仓库包含一个模块化、轻量级的 **实时响应取证工具 (`linux_triage.sh`)**，原生开发于 Parrot OS。该脚本通过收集关键诊断快照并将其聚合到压缩的案件目录中以备取证审查，从而自动化完成主机分类。 ## 📊 收集的取证数据模式 该脚本按顺序针对并保留以下端点层的信息： * **网络态势 (`samples/network_connections.txt`):** 捕获监听端口和原始套接字连接 (`ss -tulpn`)，以追踪未经授权的后门信标。 * **进程族谱 (`samples/process_tree.txt`):** 生成完整的父子执行路径 (`ps auxf`)，以揭露恶意的伪装或隐藏的二进制分叉。 * **持久化审计 (`samples/enabled_services.txt`):** 聚合已启用的 systemd 配置和 cron 位置，以检测持久化的恶意软件访问钩子。 * **身份基础设施 (`samples/logged_in_users.txt`):** 提取当前登录映射 (`w`) 和本地身份验证记录。 ## 🚀 部署说明 使用 root 权限执行脚本，以确保能够访问受保护的系统日志： ``` chmod +x linux_triage.sh sudo ./linux_triage.sh ```

标签：JARM, Linux应急响应, Mr. Robot, osquery, 主机安全诊断, 内存分析, 后渗透, 子域名变形, 子域名枚举, 安全取证, 安全基线检查, 安全巡检脚本, 实时取证分析, 应用安全, 持久化后门检测, 无线安全, 沙箱逃逸分析, 系统安全, 网络连接状态, 自动化安全工具, 自动化溯源, 运维安全, 进程树分析, 黑客痕迹排查