Linux 主机安全巡检与应急响应工具 | 高质量证据采集、结构化报告,面向被黑应急和常规安全检测两大场景

工具介绍

面向 Linux 主机应急响应与安全巡检的一体化扫描器：快速、可扩展、报告清晰。

Linux_safescan 是一款以 Go 实现的主机安全巡检与应急响应工具：聚焦高质量证据采集、结构化报告与可操作建议，面向被黑应急和常规安全检测两大场景。

为什么选择 Linux_safescan

• 专业覆盖：进程、网络、账户、配置、历史、启动项、文件、后门、Rootkit、Web 内容，全域巡检
• 强悍内核：内置 IOC/Rootkit/Web 内容规则与离线 GeoIP，开箱即用
• 高效自洽：纯 Go 单机自检，无需服务端；Diff 模式聚焦新增风险
• 报告清晰：英文风格文本报告 + JSON 结构化产物，利于审计与工单流转
• 可控合规：模块可选、路径可配、阈值可调；不联网、不外传，现场可控

核心能力总览

Linux_safescan 提供覆盖主机侧常见风险面的全量扫描能力：

• IOC 文本规则匹配（恶意特征）
• 模块化扫描：进程、网络、账户、配置、登录日志、后门、Rootkit、Web 内容
• 系统关键二进制哈希基线与差异比较
• 离线 GeoIP 查询，识别外联/登陆来源是否为境外
• 英文风格文本报告 + JSON 结构化报告
• crontab 定时执行与常见安全日志打包

能力矩阵

场景对照清单（全面映射）

1 主机信息获取：Hostname / IP / OS / Time2 系统初始化 alias 检查：/etc/profile、/etc/bashrc、用户 .bashrc/.bash_profile3 文件类安全扫描3.1 系统重要文件完整性：系统关键二进制 MD5 基线与差异3.2 系统可执行文件安全扫描：白名单目录内关键二进制内容特征分析3.3 临时目录文件扫描：/tmp、/var/tmp、/dev/shm3.4 用户目录文件扫描：/home、/root3.5 可疑隐藏文件扫描：find “..*” 并规避系统路径4 各用户历史操作类4.1 境外 IP 操作类：history 外联命令 + GeoIP 判定4.2 反弹 shell 类：history 匹配反弹/下载执行等特征5 进程类安全检测5.1 CPU/内存使用异常：默认阈值 70%5.2 隐藏进程扫描：对比 ps 与 /proc5.3 反弹 shell 类进程扫描：命令行特征5.4 恶意进程信息扫描：命令行包含可疑 token（minerd/sqlmap 等）5.5 进程对应可执行文件安全扫描：/proc/PID/exe 指向文件内容特征6 网络类安全检测6.1 境外 IP 链接扫描：ss 输出 + GeoIP 判定6.3 恶意特征链接扫描：远端端口匹配恶意端口表（如 31337/6667 等）6.4 网卡混杂模式检测：ip -o link show 含 PROMISC7 后门类检测7.1–7.4 环境变量后门：LD_PRELOAD / LD_AOUT_PRELOAD / LD_ELF_PRELOAD / LD_LIBRARY_PATH7.5 ld.so.preload7.6 PROMPT_COMMAND7.7 Cron 后门（/var/spool/cron、/etc/cron.*）7.8 Alias 后门（见 2）7.9 SSH 后门（非 22 端口）7.10 SSH wrapper 后门（/usr/sbin/sshd 非 ELF）7.11 inetd.conf、7.12 xinetd.conf7.13 setUID 后门（白名单过滤）7.14 系统启动项后门（init.d、rc.*、rc.local、systemd 等 8 类）8 账户类安全排查8.1 root 权限账户（uid=0 非 root）8.2 空口令账户8.3 sudoers 权限异常8.4 各账户登录公钥8.5 账户密码文件权限异常9 日志类安全分析9.1 secure/auth.log 成功登录（外部来源）9.2 wtmp、9.3 utmp、9.4 lastlog 外部来源判定10 安全配置类分析10.1 DNS 配置（境外 DNS）10.2 Iptables 配置（宽松 ACCEPT）10.3 hosts 配置（境外 IP 绑定）11 Rootkit 分析11.1 已知 rootkit 文件特征11.2 已知 rootkit LKM 模块名11.3 恶意软件文本特征（--full 开启）12 WebShell 类文件扫描：自动推断 Web 根，匹配轻量规则

工具获取