vaibhavkrishna12004/Linux-IR-toolkit

# Linux 事件响应工具包 一个基于 Bash 的分类工具包，用于在 Linux 系统上进行快速主机调查。专为需要结构化取证输出而无需安装额外依赖的 SOC 分析师和蓝队成员设计。 ## 功能介绍 跨 8 个类别运行全面的主机分类，并自动生成带有时间戳的报告。 - *主机信息* — 主机名、内核、运行时间、当前用户 - *权限发现* — sudo 命令历史、账户修改活动 - *身份验证* — 登录失败、最近的登录成功 - *网络* — 监听端口、活动连接、已建立的会话 - *用户发现* — 具有交互式 shell 的用户 - *Sudo 用户* — 所有具有 sudo 权限的账户 - *进程分析* — 内存占用最高的进程 - *全局可写文件* — 任何用户均可访问的文件，常见的持久化途径 ## 使用说明 git clone https://github.com/vaibhavkrishna12004/Linux-IR-toolkit/blob/main/ir_toolkit.sh cd Linux-IR-toolkit chmod +x ir_toolkit.sh ./ir_toolkit.sh 报告自动保存至 reports/ir-report-.txt ## 各项检查的重要性 - *Sudo 历史* — 对 sudo 命令进行频率分析可揭示异常和攻击者活动 - *账户修改* — 日志中的 usermod、groupmod、passwd 预示着持久化尝试 - *全局可写文件* — 后门和权限提升 payload 的常见途径 - *监听端口* — 意外的开放端口表明存在后门或 C2 通信 ## 使用的工具 - journalctl — sudo 和系统事件分析 - ss — 网络 socket 检查 - 对 /var/log/auth.log 进行 grep — 身份验证日志解析 - find — 文件权限分析 - ps — 进程检查

标签：Bash, PB级数据处理, Web报告查看器, 安全运维, 库, 应急响应, 应用安全, 数字取证, 自动化脚本