工具介绍
面向 Linux 主机应急响应与安全巡检的一体化扫描器:快速、可扩展、报告清晰。
Linux_safescan 是一款以 Go 实现的主机安全巡检与应急响应工具:聚焦高质量证据采集、结构化报告与可操作建议,面向被黑应急和常规安全检测两大场景。
为什么选择 Linux_safescan
- 专业覆盖:进程、网络、账户、配置、历史、启动项、文件、后门、Rootkit、Web 内容,全域巡检
- 强悍内核:内置 IOC/Rootkit/Web 内容规则与离线 GeoIP,开箱即用
- 高效自洽:纯 Go 单机自检,无需服务端;Diff 模式聚焦新增风险
- 报告清晰:英文风格文本报告 + JSON 结构化产物,利于审计与工单流转
- 可控合规:模块可选、路径可配、阈值可调;不联网、不外传,现场可控
核心能力总览
Linux_safescan 提供覆盖主机侧常见风险面的全量扫描能力:
- IOC 文本规则匹配(恶意特征)
- 模块化扫描:进程、网络、账户、配置、登录日志、后门、Rootkit、Web 内容
- 系统关键二进制哈希基线与差异比较
- 离线 GeoIP 查询,识别外联/登陆来源是否为境外
- 英文风格文本报告 + JSON 结构化报告
crontab定时执行与常见安全日志打包
能力矩阵
| Capability | Status | Notes |
|---|---|---|
| IOC rules | Ready | 内置 assets/malware 文本指纹 |
| GeoIP | Ready | 内置 assets/geoip/17monipdb.dat |
| Rootkit scan | Ready | 默认加载 assets/rootkits.json |
| Web content scan | Ready | 内置 assets/webshell_rule/*.yar 轻量匹配 |
| Diff mode | Ready | 对比上次结果,仅输出新增异常(NewFindings) |
| Host report | Ready | 英文文本报告与 JSON 输出 |
| Scheduled run | Ready | 生成/写入定时执行项 |
场景对照清单(全面映射)
1 主机信息获取:Hostname / IP / OS / Time
2 系统初始化 alias 检查:/etc/profile、/etc/bashrc、用户 .bashrc/.bash_profile
3 文件类安全扫描
3.1 系统重要文件完整性:系统关键二进制 MD5 基线与差异
3.2 系统可执行文件安全扫描:白名单目录内关键二进制内容特征分析
3.3 临时目录文件扫描:/tmp、/var/tmp、/dev/shm
3.4 用户目录文件扫描:/home、/root
3.5 可疑隐藏文件扫描:find "..." 并规避系统路径
4 各用户历史操作类
4.1 境外 IP 操作类:history 外联命令 + GeoIP 判定
4.2 反弹 shell 类:history 匹配反弹/下载执行等特征
5 进程类安全检测
5.1 CPU/内存使用异常:默认阈值 70%
5.2 隐藏进程扫描:对比 ps 与 /proc
5.3 反弹 shell 类进程扫描:命令行特征
5.4 恶意进程信息扫描:命令行包含可疑 token(minerd/sqlmap 等)
5.5 进程对应可执行文件安全扫描:/proc/PID/exe 指向文件内容特征
6 网络类安全检测
6.1 境外 IP 链接扫描:ss 输出 + GeoIP 判定
6.3 恶意特征链接扫描:远端端口匹配恶意端口表(如 31337/6667 等)
6.4 网卡混杂模式检测:ip -o link show 含 PROMISC
7 后门类检测
7.1--7.4 环境变量后门:LD_PRELOAD / LD_AOUT_PRELOAD / LD_ELF_PRELOAD / LD_LIBRARY_PATH
7.5 ld.so.preload
7.6 PROMPT_COMMAND
7.7 Cron 后门(/var/spool/cron、/etc/cron. )
7.8 Alias 后门(见 2)
7.9 SSH 后门(非 22 端口)
7.10 SSH wrapper 后门(/usr/sbin/sshd 非 ELF)
7.11 inetd.conf、7.12 xinetd.conf
7.13 setUID 后门(白名单过滤)
7.14 系统启动项后门(init.d、rc.*、rc.local、systemd 等 8 类)
8 账户类安全排查
8.1 root 权限账户(uid=0 非 root)
8.2 空口令账户
8.3 sudoers 权限异常
8.4 各账户登录公钥
8.5 账户密码文件权限异常
9 日志类安全分析
9.1 secure/auth.log 成功登录(外部来源)
9.2 wtmp、9.3 utmp、9.4 lastlog 外部来源判定
10 安全配置类分析
10.1 DNS 配置(境外 DNS)
10.2 Iptables 配置(宽松 ACCEPT)
10.3 hosts 配置(境外 IP 绑定)
11 Rootkit 分析
11.1 已知 rootkit 文件特征
11.2 已知 rootkit LKM 模块名
11.3 恶意软件文本特征(--full 开启)
12 WebShell 类文件扫描:自动推断 Web 根,匹配轻量规则
工具下载
https://github.com/Mingcharun/Linux_safescan