原文链接: https://mp.weixin.qq.com/s?__biz=MzkyOTQ0MjE1NQ==&mid=2247501016&idx=1&sn=d641e16c18554ec40b9e32bbe004b5fb

【应急响应工具教程】Linux应急响应工具集：一键式安全评估与可视化报告系统

原创 solarsec solar应急响应团队 2025-07-08 04:00

1、工具简介

一个用于Linux系统安全应急响应的工具集，包含一键式信息收集脚本和可视化报告查看器。该工具集能够快速收集系统安全相关信息，并通过基于规则的分析引擎对收集到的信息进行安全风险评估。

2、功能介绍

系统后门排查	1.UID为0的非root用户检测 2.可疑系统配置检查 3.异常系统文件检测
用户与登录检查	1.当前用户信息  2.所有用户列表  3.最近登录记录 4.登录失败记录
日志分析	1.系统日志错误 2.安全日志错误
网络检查	1.监听端口  2.活动连接  3.网络配置  4.路由表  5.可疑连接
进程检查	1.高CPU占用进程 2.可疑脚本进程
文件系统检查	1.SUID文件  2.最近修改的文件
软件包检查	1.已安装软件包列表
持久化检查	1.自启动服务  2.计划任务  3.SSH公钥 4.启动项配置
系统完整性	1.关键二进制文件校验 2.系统文件完整性
恶意进程与提权点	1.可疑进程 2.可疑提权点 3.隐藏文件
规则引擎	1.基于YAML的规则配置系统，包含多个规则集

3、下载与安装

https://github.com/Rabb1tQ/emergency_response

4、使用教程

将工具包拷贝到受害机器上，运行emergency_response.sh脚本，脚本会在当前目录生成格式如 

emergency_report_YYYYMMDD_HHMMSS.txt

的报告文件。

安装requirement.txt的环境后，运行rules_engine.py。

访问emergency_report_viewer.html，导入脚本跑完的结果

emergency_report_YYYYMMDD_HHMMSS.txt。

python脚本会一起分析脚本内容，并在发现可疑点后进行返回。

可指定关键字进行检索。

5、工具补充说明

工具兼容性方面：
– python环境要求：脚本适用python3.X

• 操作系统：支持主流Linux发行版（Ubuntu、Debian、CentOS等）

• 权限要求：需要root权限

• 浏览器要求：支持现代浏览器（Chrome、Firefox、Edge等）

6、注意事项

• 脚本需要root权限才能收集完整信息。

• 部分命令在不同发行版中可能不可用，脚本会自动跳过。

• 报告查看器需要现代浏览器支持。

• 建议定期更新规则库以适应新的安全威胁。

以下是solar安全团队近期处理过的常见勒索病毒后缀：

收录时间	病毒家族	相关文章
2025/01/14	medusalocker	【病毒分析】深入剖析MedusaLocker勒索家族：从密钥生成到文件加密的全链路解析
2025/01/15	medusa	【病毒分析】“美杜莎”勒索家族：从入侵到结束的全流程深度解析
2024/12/11	weaxor	【病毒分析】新崛起的weaxor勒索家族：疑似mallox家族衍生版，深度解析两者关联！
2024/10/23	RansomHub	【病毒分析】Ransom Hub:唯一不攻击中国的2024全球Top1勒索家族——ESXi加密器深度解析
2024/11/23	Fx9	【病毒分析】Fx9家族首次现身！使用中文勒索信，熟练勒索谈判
2024/11/04	Makop	【病毒分析】揭秘.mkp后缀勒索病毒！Makop家族变种如何进行可视化加密？
2024/06/26	moneyistime	【病毒分析】使用中文勒索信及沟通：MoneyIsTime 勒索家族的本地化语言转变及其样本分析
2024/04/11	babyk	【病毒分析】BabyK加密器分析-Windows篇 【病毒分析】Babyk加密器分析-NAS篇 【病毒分析】Babyk加密器分析-EXSI篇 【病毒分析】Babuk家族babyk勒索病毒分析 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目
2024/09/29	lol	【病毒分析】全网首发！全面剖析.LOL勒索病毒，无需缴纳赎金，破解方案敬请期待下篇！ 【工具分享】.LOL勒索病毒再也不怕！完整破解教程分享+免费恢复工具首发
2024/06/10	MBRlock	【病毒分析】假冒游戏陷阱：揭秘MBRlock勒索病毒及其修复方法
2024/06/01	Rast gang	【病毒分析】Steloj勒索病毒分析
2024/06/01	TargetOwner	【病毒分析】技术全面升级，勒索赎金翻倍，新版本TargetOwner勒索家族强势来袭？
2024/11/02	Lockbit 3.0	【病毒分析】Lockbit家族Lockbit 3.0加密器分析 【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告 【病毒分析】繁体勒索信暗藏玄机！要价50万RMB赎金的Lockbit泄露版分析
2024/05/15	wormhole	【病毒分析】Wormhole勒索病毒分析
2024/03/20	tellyouthepass	【病毒分析】locked勒索病毒分析 【病毒分析】中国人不骗中国人？_locked勒索病毒分析
2024/03/01	lvt	【病毒分析】交了赎金也无法恢复–针对国内某知名NAS的LVT勒索病毒最新分析
2024/03/04	phobos	【病毒分析】phobos家族2700变种加密器分析报告 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目 【病毒分析】phobos家族faust变种加密器分析 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目 【病毒分析】phobos家族Elbie变种加密器分析报告
2024/03/28	DevicData	【病毒分析】DevicData勒索病毒分析 【病毒分析】DevicData家族扩散：全球企业和机构成为勒索病毒头号攻击目标！
2024/02/27	live	【病毒分析】独家揭秘LIVE勒索病毒家族之1.0（全版本可解密） 【病毒分析】独家揭秘LIVE勒索病毒家族之1.5（全版本可解密） 【病毒分析】独家揭秘LIVE勒索病毒家族之2.0（全版本可解密）
2024/08/16	CryptoBytes	【独家破解】揭秘境外黑客组织的20美元锁机病毒：深度逆向分析+破解攻略！赎金？给你付个🥚
2024/03/15	mallox	【病毒分析】mallox家族malloxx变种加密器分析报告 【病毒分析】Mallox勒索家族新版本：加密算法全面解析 【病毒分析】全网首发！袭扰国内top1勒索病毒家族Mallox家族破解思路及技术分享 【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目 【病毒分析】mallox家族rmallox变种加密器分析报告 【病毒分析】Mallox家族再进化：首次瞄准Linux，勒索新版本全面揭秘！
2024/07/25	BeijngCrypt	【病毒分析】全网首发！以国内某安全厂商名字为后缀的勒索病毒分析
2025/03/11	银狐	【病毒分析】潜伏在AI工具中的幽灵：银狐家族社工攻击的深度剖析
2025/03/07	CTF赛题	【病毒分析】伪造微软官网+勒索加密+支付威胁，CTF中勒索病毒解密题目真实还原！ 【病毒分析】2024年网鼎杯朱雀组REVERSE02——关于勒索木马解密详解
2025/05/14	888	【病毒分析】888勒索家族再出手！幕后加密器深度剖析
2025/06/13	LockBit4.0	【病毒分析】缴纳了巨额赎金依旧无法解密？最新LockBit4.0解密器分析 【病毒分析】LockBit 4.0 vs 3.0：技术升级还是品牌续命？最新LockBit 4.0分析报告

勒索攻击作为成熟的攻击手段，很多勒索家族已经形成了一套完整的商业体系，并且分支了很多团伙组织，导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同，TellYouThePass勒索软件家族常常利用系统漏洞进行攻击；Phobos勒索软件家族通过RDP暴力破解进行勒索；Mallox勒索软件家族利用数据库及暴力破解进行加密，攻击手法极多防不胜防。

收录时间	相关文章
2024/12/12	【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第二篇-流量致盲，无声突破
2024/12/11	【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第一篇-驱动漏洞一击致命

而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份，在其基础上加强公司安全人员意识。

收录时间	相关文章
2024/06/27	【教程分享】勒索病毒来袭！教你如何做好数据防护
2024/06/24	【教程分享】服务器数据文件备份教程

案例介绍篇
聚焦于真实的攻击事件，还原病毒家族的攻击路径和策略，为用户提供详细的溯源分析和防护启示；

收录时间	相关文章
2024/06/27	【案例介绍】赎金提高，防御失效：某上市企业两年内两度陷入同一勒索团伙之手
2024/01/26	【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目
2024-03-13	【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目
2024-04-01	【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目
2024-04-26	【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目
2024-05-17	【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵
2024-11-28	【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告

漏洞与预防篇
侧重于技术层面的防御手段，针对病毒利用的漏洞和安全弱点，提出操作性强的应对方案：

收录时间	相关文章
2025/01/08	【漏洞与预防】RDP弱口令漏洞预防
2025/01/21	【漏洞与预防】MSSQL数据库弱口令漏洞预防
2025/02/18	【漏洞与预防】远程代码执行漏洞预防
2025/04/10	【漏洞与预防】Atlassian Confluence存在远程代码执行漏洞
2025/04/17	【漏洞与预防】畅捷通文件上传漏洞预防
2025/05/27	【漏洞与预防】Microsoft Windows 文件资源管理器欺骗漏洞预防

应急响应工具教程篇
重点分享应急响应过程中常用工具的安装、配置与使用说明，旨在帮助读者快速掌握这些工具的操作流程与技巧，提高其在实际应急场景中的应用熟练度与效率。

收录时间	相关文章
2025/01/10	【应急响应工具教程】Splunk安装与使用
2025/02/07	【应急响应工具教程】取证工具-Volatility安装与使用
2025/02/20	【应急响应工具教程】流量嗅探工具-Tcpdump
2025/02/26	【应急响应工具教程】一款精准搜索文件夹内容的工具–FileSeek
2025/03/03	【应急响应工具教程】一款自动化分析网络安全应急响应工具–FindAll
2025/03/13	【应急响应工具教程】Windows 系统操作历史监控与审计工具-LastActivityView
2025/03/20	【应急响应工具教程】镜像取证之挂载镜像——Arsenal Image Mounter
2025/04/03	【应急响应工具教程】Windows 系统综合排查工具Hawkeye
2025/04/08	【应急响应工具教程】Linux下应急响应工具whohk
2025/05/15	【应急响应工具教程】Windows日志快速分析工具——Chainsaw
2025/06/05	【应急响应工具教程】Logman 系统性能与日志采集工具

如果您想了解有关勒索病毒的最新发展情况，或者需要获取相关帮助，请关注“solar专业应急响应团队”。

全国热线| 400-613-6816

更多资讯| 扫码加入群组交流

喜欢此内容的人还喜欢

【紧急警示】Weaxor最新变种“.wxx”来袭，批量入国内知名财务类管理系统发起勒索攻击！

索勒安全团队

【紧急通告】Outlook公布高危漏洞CVE‑2025‑47176，攻击者可远程执行代码！

索勒安全团队

【病毒分析】888勒索家族再出手！幕后加密器深度剖析索勒安全团队