TuxResponse是一款什么工具

這篇文章主要介紹了TuxResponse是一款什么工具，具有一定借鑒價(jià)值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著大家一起了解一下。

成都創(chuàng)新互聯(lián)公司堅(jiān)持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：成都網(wǎng)站制作、做網(wǎng)站、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時(shí)代的如皋網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

TuxResponse

   TuxResponse是一款采用Bash語(yǔ)言開(kāi)發(fā)編寫(xiě)的專門針對(duì)Linux系統(tǒng)平臺(tái)的事件響應(yīng)腳本。它可以在Linux系統(tǒng)上以自動(dòng)化的形式執(zhí)行各種事件響應(yīng)任務(wù)，以幫助安全分析人員快速對(duì)系統(tǒng)中的安全應(yīng)急事件進(jìn)行分類，同時(shí)不會(huì)影響最終的處理結(jié)果。當(dāng)然了，通常情況下公司或企業(yè)的系統(tǒng)中都會(huì)部署一些安全監(jiān)視和控制軟件，但由于存在各種非標(biāo)準(zhǔn)鏡像以及其他網(wǎng)絡(luò)組件，因此TuxResponse便應(yīng)運(yùn)而生。在TuxResponse的幫助下，研究人員只需按一下按鈕，就可以完成10個(gè)命令的輸入和測(cè)試。

當(dāng)前版本的TuxResponse已在Ubuntu 14+和CentOS 7+上進(jìn)行了測(cè)試。

功能特性

1、利用了Linux的內(nèi)置工具以及各種功能，其中包括但不限于dd、awk、grep、cat和netstat等。

2、減少了事件響應(yīng)工具所需的命令數(shù)量。

3、自動(dòng)化任務(wù)實(shí)現(xiàn)。

除了Linux內(nèi)置工具即功能組件之外，TuxResponse還引入了下列外部工具包：

-LiME

-Exif

-Chckrootkit

-Yara + Linux掃描規(guī)則

工具下載

廣大用戶可以直接使用下列命令將項(xiàng)目代碼克隆至本地:

git clone https://github.com/la3ar0v/TuxResponse.git

工具使用樣例

INSTALL LiMEfunction init_lime(){  if [ -f /usr/bin/yum ]; then    yum -y install make kernel-headers kernel-devel gcc  elif [ -f /usr/bin/apt-get ]; then    apt-add-repository universe    apt-get -y install make linux-headers-$(uname -r) gcc  fi  rm -f /tmp/v1.8.1.zip  wget -P/tmp https://github.com/504ensicsLabs/LiME/archive/v1.8.1.zip  unzip /tmp/v1.8.1.zip  rm -f /tmp/v1.8.1.zip  pushd LiME-1.8.1/src    make    mv lime-*.ko /tmp/lime.ko  popd  rm -rf LiME-1.8.1}

在對(duì)某個(gè)安全事件進(jìn)行應(yīng)急響應(yīng)處理時(shí)，如果你還要手動(dòng)輸入所有命令來(lái)安裝LiME的話，肯定會(huì)花費(fèi)你大量的時(shí)間，這樣一來(lái)效率就非常低了。

功能介紹

一、實(shí)時(shí)響應(yīng)

（1）足跡系統(tǒng)

System info, IP, Date, Time, local TZ, last boot - 'hostnamectl; who -b; uname -a; uptime; ifconfig; date; last reboot'

（2）文件系統(tǒng)工具

'df -h'：檢查已加載的文件系統(tǒng) -'find /usr/bin -type f -exec file "{}" \; | grep -i "elf" | cut -f1 -d: | xargs -I "{}" -n 1 md5sum {}'：可執(zhí)行文件哈希 (MD5)  'modified_files_period_select' (調(diào)用tuxresponse.sh中的函數(shù))：修改文件'find / -type d -name "\.*"'：枚舉所有的隱藏目錄'find / \( -nouser -o -nogroup \) -exec ls -l {} \; 2>/dev/null'：枚舉無(wú)用戶/組名的文件/目錄'packaged_files_changed' (calling a function in tuxresponse.sh)：修改包內(nèi)文件

（3）YARA, CHKROOTKIT, EXIFTool

'chkrootkit'：檢查rootkits 'yara_select'：Yara掃描'exiftool_select'：EXIFTool

（4）處理分析工具

'ps -axu'：枚舉運(yùn)行進(jìn)程'ls -alR /proc/*/exe 2> /dev/null | grep deleted'：刪除仍在運(yùn)行的代碼'ss -tunap | sed "s/[ \t]\+/|/g"'：活動(dòng)網(wǎng)絡(luò)連接-TCP或UDP'dump_process_select'：根據(jù)PID導(dǎo)出進(jìn)程信息'ls -alR /proc/*/cwd 2> /dev/null | grep -E "tmp|dev"'：從/tmp或/dev運(yùn)行進(jìn)程

（5）網(wǎng)絡(luò)連接分析

'netstat -nalp; netstat -plant'：枚舉所有活動(dòng)的網(wǎng)絡(luò)連接/元套接字

（6）用戶

'w' ：枚舉當(dāng)前接入的用戶

'getent passwd'：使用密碼獲取用戶信息

（7）Bash

'cat ~/.bash_history | nl'：檢查Bash歷史文件

（8）持久化痕跡

'list_all_crontab'：枚舉所有的Cron任務(wù)'list_all_onstartup'：枚舉所有的自啟動(dòng)程序

（9）導(dǎo)出所有日志（/var/log）

'cat_all_bash_history'：導(dǎo)出用戶的.bash_history'grep [[:cntrl:]] /var/log/*.log'：查找日志

二、建立連接，使用SSH傳輸腳本并分析遠(yuǎn)程系統(tǒng)

該選項(xiàng)允許您連接到遠(yuǎn)程系統(tǒng)，復(fù)制所有腳本和工具并分析系統(tǒng)。

三、導(dǎo)出內(nèi)存（LKM LiME）

該選項(xiàng)可以讓我們從源代碼處編譯LiME，并將RAM內(nèi)存轉(zhuǎn)儲(chǔ)到系統(tǒng)之外，這是最簡(jiǎn)單的方法。因?yàn)榱硪环N方法是從源代碼編譯所有主要內(nèi)核版本，并插入LKM。

四、獲取磁盤鏡像（DD）

該選項(xiàng)可以幫助我們使用著名的工具-dd來(lái)獲取目標(biāo)系統(tǒng)的完整磁盤映像。該函數(shù)將源地址和目的地址作為參數(shù)，并將它們插入以下命令之中：

'dd if=${image_in}pv | dd of='${image_OUT}'bs=4K conv=noerror，sync'

如果您正在調(diào)查和分析一個(gè)遠(yuǎn)程系統(tǒng)，那么腳本首先會(huì)在遠(yuǎn)程系統(tǒng)中進(jìn)行自我復(fù)制。如果你設(shè)置了參數(shù)${TARGET_HOST}，那么腳本將使用以下命令將鏡像下載到分析系統(tǒng)中

>>“ssh-p${TARGET_PORT}${TARGET_USER}@${TARGET_HOST}”dd if=${image_IN}bs=4K conv=noerror，sync'{pv|dd of='${image_OUT}'

注意：pv的使用可以幫助我們跟蹤進(jìn)度。

五、生成HTML報(bào)告

我們所有的操作記錄以及分析結(jié)果都將存儲(chǔ)在一個(gè)文本文件中，因此我們可以輕松返回并查看輸出。這樣做的好處是，我們可以將它上傳到任何一個(gè)日志分析工具中，并在后期加以解析。除此之外，我們還可以使用該函數(shù)來(lái)生成HTML格式的分析報(bào)告，并以可讀性更高的形式查看工具生成的事件響應(yīng)結(jié)果。

感謝你能夠認(rèn)真閱讀完這篇文章，希望小編分享的“TuxResponse是一款什么工具”這篇文章對(duì)大家有幫助，同時(shí)也希望大家多多支持創(chuàng)新互聯(lián)，關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，更多相關(guān)知識(shí)等著你來(lái)學(xué)習(xí)!

當(dāng)前文章：TuxResponse是一款什么工具
本文網(wǎng)址：http://bm7419.com/article12/gijggc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站制作、網(wǎng)站策劃、企業(yè)建站、外貿(mào)網(wǎng)站建設(shè)、動(dòng)態(tài)網(wǎng)站、用戶體驗(yàn)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)