文章总结： Linux_safescan是一款用Go语言开发的Linux主机安全巡检与应急响应工具，支持进程、网络、账户、配置等全量扫描，内置IOC规则和离线GeoIP库，提供结构化报告和差异对比功能，适用于被黑应急和常规安全检测场景。工具具备模块化扫描、Rootkit检测、Webshell识别等核心能力，用户可通过公众号回复指定关键字获取使用。 综合评分： 73 文章分类： 应急响应,安全工具,终端安全,安全运营,恶意软件

Linux 主机安全巡检与应急响应工具 | 高质量证据采集、结构化报告，面向被黑应急和常规安全检测两大场景

Mingcharun Mingcharun

夜组安全

2026年3月30日 08:01 青海

免责声明

由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号夜组安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！所有工具安全性自测！！！VX：NightCTI

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把夜组安全“设为星标”，否则可能就看不到了啦！

工具介绍

面向 Linux 主机应急响应与安全巡检的一体化扫描器：快速、可扩展、报告清晰。

Linux_safescan 是一款以 Go 实现的主机安全巡检与应急响应工具：聚焦高质量证据采集、结构化报告与可操作建议，面向被黑应急和常规安全检测两大场景。

为什么选择 Linux_safescan

• 专业覆盖：进程、网络、账户、配置、历史、启动项、文件、后门、Rootkit、Web 内容，全域巡检
• 强悍内核：内置 IOC/Rootkit/Web 内容规则与离线 GeoIP，开箱即用
• 高效自洽：纯 Go 单机自检，无需服务端；Diff 模式聚焦新增风险
• 报告清晰：英文风格文本报告 + JSON 结构化产物，利于审计与工单流转
• 可控合规：模块可选、路径可配、阈值可调；不联网、不外传，现场可控

核心能力总览

Linux_safescan 提供覆盖主机侧常见风险面的全量扫描能力：

• IOC 文本规则匹配（恶意特征）
• 模块化扫描：进程、网络、账户、配置、登录日志、后门、Rootkit、Web 内容
• 系统关键二进制哈希基线与差异比较
• 离线 GeoIP 查询，识别外联/登陆来源是否为境外
• 英文风格文本报告 + JSON 结构化报告
• crontab 定时执行与常见安全日志打包

能力矩阵

| Capability | Status | Notes | | — | — | — | | IOC rules | Ready | 内置 assets/malware 文本指纹 | | GeoIP | Ready | 内置 assets/geoip/17monipdb.dat | | Rootkit scan | Ready | 默认加载 assets/rootkits.json | | Web content scan | Ready | 内置 assets/webshell_rule/*.yar 轻量匹配 | | Diff mode | Ready | 对比上次结果，仅输出新增异常（NewFindings） | | Host report | Ready | 英文文本报告与 JSON 输出 | | Scheduled run | Ready | 生成/写入定时执行项 |

场景对照清单（全面映射）

1 主机信息获取：Hostname / IP / OS / Time 2 系统初始化 alias 检查：/etc/profile、/etc/bashrc、用户 .bashrc/.bash_profile 3 文件类安全扫描 3.1 系统重要文件完整性：系统关键二进制 MD5 基线与差异 3.2 系统可执行文件安全扫描：白名单目录内关键二进制内容特征分析 3.3 临时目录文件扫描：/tmp、/var/tmp、/dev/shm 3.4 用户目录文件扫描：/home、/root 3.5 可疑隐藏文件扫描：find “..*” 并规避系统路径 4 各用户历史操作类 4.1 境外 IP 操作类：history 外联命令 + GeoIP 判定 4.2 反弹 shell 类：history 匹配反弹/下载执行等特征 5 进程类安全检测 5.1 CPU/内存使用异常：默认阈值 70% 5.2 隐藏进程扫描：对比 ps 与 /proc 5.3 反弹 shell 类进程扫描：命令行特征 5.4 恶意进程信息扫描：命令行包含可疑 token（minerd/sqlmap 等） 5.5 进程对应可执行文件安全扫描：/proc/PID/exe 指向文件内容特征 6 网络类安全检测 6.1 境外 IP 链接扫描：ss 输出 + GeoIP 判定 6.3 恶意特征链接扫描：远端端口匹配恶意端口表（如 31337/6667 等） 6.4 网卡混杂模式检测：ip -o link show 含 PROMISC 7 后门类检测 7.1–7.4 环境变量后门：LD_PRELOAD / LD_AOUT_PRELOAD / LD_ELF_PRELOAD / LD_LIBRARY_PATH 7.5 ld.so.preload 7.6 PROMPT_COMMAND 7.7 Cron 后门（/var/spool/cron、/etc/cron.*） 7.8 Alias 后门（见 2） 7.9 SSH 后门（非 22 端口） 7.10 SSH wrapper 后门（/usr/sbin/sshd 非 ELF） 7.11 inetd.conf、7.12 xinetd.conf 7.13 setUID 后门（白名单过滤） 7.14 系统启动项后门（init.d、rc.*、rc.local、systemd 等 8 类） 8 账户类安全排查 8.1 root 权限账户（uid=0 非 root） 8.2 空口令账户 8.3 sudoers 权限异常 8.4 各账户登录公钥 8.5 账户密码文件权限异常 9 日志类安全分析 9.1 secure/auth.log 成功登录（外部来源） 9.2 wtmp、9.3 utmp、9.4 lastlog 外部来源判定 10 安全配置类分析 10.1 DNS 配置（境外 DNS） 10.2 Iptables 配置（宽松 ACCEPT） 10.3 hosts 配置（境外 IP 绑定） 11 Rootkit 分析 11.1 已知 rootkit 文件特征 11.2 已知 rootkit LKM 模块名 11.3 恶意软件文本特征（–full 开启） 12 WebShell 类文件扫描：自动推断 Web 根，匹配轻量规则

工具获取

点击关注下方名片进入公众号

回复关键字【260330】获取下载链接

往期精彩

[Apifox 供应链攻击应急响应工具

2026-03-27

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496570&idx=1&sn=e272cffe86eb2114068c209939100376&scene=21#wechatredirect)[阿里云 AVD、长亭漏洞库、OSCS、奇安信 |多源实时漏洞监控和推送

2026-03-26

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496564&idx=1&sn=8ac779ff3b59801e3cf598821cdc4af0&scene=21#wechatredirect)[一个综合性的Web安全学习平台 | 涵盖16大类Web安全漏洞，共80+个实战场景

2026-03-25

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496552&idx=1&sn=66c6fe8d1c0b4c96e01579bee35faae8&scene=21#wechatredirect)[网站老被攻击？别慌，这个免费“保镖”我用了都说好

2026-03-24

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496551&idx=1&sn=bbeaff114e49f9c4cfbf3a8912e95d6c&scene=21#wechatredirect)[BeforeDawn 漏洞管理平台 | 致敬每一个在黎明前守夜的安全人员

2026-03-23

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496531&idx=1&sn=7cfaf72f34988de5d0be92164d912d7e&scene=21#wechatredirect)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夜组安全 Mingcharun Mingcharun《Linux 主机安全巡检与应急响应工具 | 高质量证据采集、结构化报告，面向被黑应急和常规安全检测两大场景》