中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

TuxResponse是一款什么工具

發布時間:2021-12-28 10:49:53 來源:億速云 閱讀:133 作者:小新 欄目:編程語言

這篇文章主要介紹了TuxResponse是一款什么工具,具有一定借鑒價值,感興趣的朋友可以參考下,希望大家閱讀完這篇文章之后大有收獲,下面讓小編帶著大家一起了解一下。

TuxResponse是一款什么工具

TuxResponse

   TuxResponse是一款采用Bash語言開發編寫的專門針對Linux系統平臺的事件響應腳本。它可以在Linux系統上以自動化的形式執行各種事件響應任務,以幫助安全分析人員快速對系統中的安全應急事件進行分類,同時不會影響最終的處理結果。當然了,通常情況下公司或企業的系統中都會部署一些安全監視和控制軟件,但由于存在各種非標準鏡像以及其他網絡組件,因此TuxResponse便應運而生。在TuxResponse的幫助下,研究人員只需按一下按鈕,就可以完成10個命令的輸入和測試。

當前版本的TuxResponse已在Ubuntu 14+和CentOS 7+上進行了測試。

功能特性

1、利用了Linux的內置工具以及各種功能,其中包括但不限于dd、awk、grep、cat和netstat等。

2、減少了事件響應工具所需的命令數量。

3、自動化任務實現。

除了Linux內置工具即功能組件之外,TuxResponse還引入了下列外部工具包:

-LiME

-Exif

-Chckrootkit

-Yara + Linux掃描規則

工具下載

廣大用戶可以直接使用下列命令將項目代碼克隆至本地:

git clone https://github.com/la3ar0v/TuxResponse.git

工具使用樣例

INSTALL LiMEfunction init_lime(){  if [ -f /usr/bin/yum ]; then    yum -y install make kernel-headers kernel-devel gcc  elif [ -f /usr/bin/apt-get ]; then    apt-add-repository universe    apt-get -y install make linux-headers-$(uname -r) gcc  fi  rm -f /tmp/v1.8.1.zip  wget -P/tmp https://github.com/504ensicsLabs/LiME/archive/v1.8.1.zip  unzip /tmp/v1.8.1.zip  rm -f /tmp/v1.8.1.zip  pushd LiME-1.8.1/src    make    mv lime-*.ko /tmp/lime.ko  popd  rm -rf LiME-1.8.1}

在對某個安全事件進行應急響應處理時,如果你還要手動輸入所有命令來安裝LiME的話,肯定會花費你大量的時間,這樣一來效率就非常低了。

功能介紹

一、實時響應

(1)足跡系統

System info, IP, Date, Time, local TZ, last boot - 'hostnamectl; who -b; uname -a; uptime; ifconfig; date; last reboot'

(2)文件系統工具

'df -h':檢查已加載的文件系統 -'find /usr/bin -type f -exec file "{}" \; | grep -i "elf" | cut -f1 -d: | xargs -I "{}" -n 1 md5sum {}':可執行文件哈希 (MD5)  'modified_files_period_select' (調用tuxresponse.sh中的函數):修改文件'find / -type d -name "\.*"':枚舉所有的隱藏目錄'find / \( -nouser -o -nogroup \) -exec ls -l {} \; 2>/dev/null':枚舉無用戶/組名的文件/目錄'packaged_files_changed' (calling a function in tuxresponse.sh):修改包內文件

(3)YARA, CHKROOTKIT, EXIFTool

'chkrootkit':檢查rootkits 'yara_select':Yara掃描'exiftool_select':EXIFTool

(4)處理分析工具

'ps -axu':枚舉運行進程'ls -alR /proc/*/exe 2> /dev/null | grep deleted':刪除仍在運行的代碼'ss -tunap | sed "s/[ \t]\+/|/g"':活動網絡連接-TCP或UDP'dump_process_select':根據PID導出進程信息'ls -alR /proc/*/cwd 2> /dev/null | grep -E "tmp|dev"':從/tmp或/dev運行進程

(5)網絡連接分析

'netstat -nalp; netstat -plant':枚舉所有活動的網絡連接/元套接字

(6)用戶

'w' :枚舉當前接入的用戶

'getent passwd':使用密碼獲取用戶信息

(7)Bash

'cat ~/.bash_history | nl':檢查Bash歷史文件

(8)持久化痕跡

'list_all_crontab':枚舉所有的Cron任務'list_all_onstartup':枚舉所有的自啟動程序

(9)導出所有日志(/var/log)

'cat_all_bash_history':導出用戶的.bash_history'grep [[:cntrl:]] /var/log/*.log':查找日志

二、建立連接,使用SSH傳輸腳本并分析遠程系統

該選項允許您連接到遠程系統,復制所有腳本和工具并分析系統。

三、導出內存(LKM LiME)

該選項可以讓我們從源代碼處編譯LiME,并將RAM內存轉儲到系統之外,這是最簡單的方法。因為另一種方法是從源代碼編譯所有主要內核版本,并插入LKM。

四、獲取磁盤鏡像(DD)

該選項可以幫助我們使用著名的工具-dd來獲取目標系統的完整磁盤映像。該函數將源地址和目的地址作為參數,并將它們插入以下命令之中:

'dd if=${image_in}pv | dd of='${image_OUT}'bs=4K conv=noerror,sync'

如果您正在調查和分析一個遠程系統,那么腳本首先會在遠程系統中進行自我復制。如果你設置了參數${TARGET_HOST},那么腳本將使用以下命令將鏡像下載到分析系統中

>>“ssh-p${TARGET_PORT}${TARGET_USER}@${TARGET_HOST}”dd if=${image_IN}bs=4K conv=noerror,sync'{pv|dd of='${image_OUT}'

注意:pv的使用可以幫助我們跟蹤進度。

五、生成HTML報告

我們所有的操作記錄以及分析結果都將存儲在一個文本文件中,因此我們可以輕松返回并查看輸出。這樣做的好處是,我們可以將它上傳到任何一個日志分析工具中,并在后期加以解析。除此之外,我們還可以使用該函數來生成HTML格式的分析報告,并以可讀性更高的形式查看工具生成的事件響應結果。

感謝你能夠認真閱讀完這篇文章,希望小編分享的“TuxResponse是一款什么工具”這篇文章對大家有幫助,同時也希望大家多多支持億速云,關注億速云行業資訊頻道,更多相關知識等著你來學習!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

济源市| 左贡县| 砚山县| 东乌珠穆沁旗| 淳安县| 宿松县| 正镶白旗| 眉山市| 延吉市| 西吉县| 禹州市| 瑞金市| 合水县| 潞城市| 琼海市| 香港| 黄石市| 塔城市| 海安县| 南皮县| 龙泉市| 诸城市| 白银市| 宝山区| 濮阳县| 巴彦淖尔市| 涪陵区| 东明县| 蕲春县| 湘乡市| 高阳县| 巴林左旗| 洛南县| 曲麻莱县| 大关县| 鄄城县| 芜湖县| 阿城市| 滦南县| 商城县| 洛隆县|