analyzing-linux-system-artifacts
检查 Linux 系统痕迹,包括身份验证日志、定时任务、Shell 历史和系统配置,以发现入侵或未授权活动的证据。
Best use case
analyzing-linux-system-artifacts is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
检查 Linux 系统痕迹,包括身份验证日志、定时任务、Shell 历史和系统配置,以发现入侵或未授权活动的证据。
Teams using analyzing-linux-system-artifacts should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/analyzing-linux-system-artifacts/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How analyzing-linux-system-artifacts Compares
| Feature / Agent | analyzing-linux-system-artifacts | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
检查 Linux 系统痕迹,包括身份验证日志、定时任务、Shell 历史和系统配置,以发现入侵或未授权活动的证据。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 分析 Linux 系统痕迹 ## 适用场景 - 调查受损的 Linux 服务器或工作站时 - 识别持久化(Persistence)机制(cron、systemd、SSH 密钥)时 - 通过 Shell 历史和身份验证日志追踪用户活动时 - 事件响应(Incident Response)期间确定 Linux 系统漏洞的影响范围时 - 检测 Rootkit、后门和未授权修改时 ## 前置条件 - 取证镜像或对 Linux 系统的实时只读访问权限 - 了解 Linux 文件系统层次结构(FHS) - 了解常见 Linux 日志位置(/var/log/) - 工具:chkrootkit、rkhunter、AIDE、auditd 日志 - 熟悉 systemd、cron 和 PAM 配置 - 完整痕迹收集需要 root 访问权限 ## 工作流程 (参见源文档中的命令) ## 核心概念 | 概念 | 定义 | |------|------| | /var/log/auth.log | Debian/Ubuntu 系统上的主要身份验证日志 | | /var/log/secure | RHEL/CentOS 系统上的主要身份验证日志 | | wtmp/btmp | 记录成功和失败登录会话的二进制日志 | | .bash_history | 用户命令历史文件(攻击者可能清除) | | crontab | 通常用于持久化的计划任务系统 | | authorized_keys | 授予账户无密码访问权限的 SSH 公钥 | | SUID 位 | 允许以文件所有者身份执行的文件权限(权限提升向量) | | LD_PRELOAD | 在所有其他库之前加载共享库的环境变量(钩挂技术) | ## 工具与系统 | 工具 | 用途 | |------|------| | chkrootkit | Linux 系统 Rootkit 检测扫描器 | | rkhunter | Rootkit Hunter - 检查 Rootkit、后门和本地漏洞利用 | | AIDE | 高级入侵检测环境 - 文件完整性监控器 | | auditd | 用于系统调用和文件访问监控的 Linux 审计框架 | | last/lastb | 解析 wtmp/btmp 获取登录和失败登录历史 | | Plaso/log2timeline | 包含 Linux 痕迹的超级时间线创建工具 | | osquery | 基于 SQL 的系统查询工具,用于实时取证调查 | | Velociraptor | 具有 Linux 痕迹收集能力的终端代理 |
Related Skills
performing-privilege-escalation-on-linux
Linux 权限提升是指在已控制的系统上从低权限用户账户提升至 root 访问权限。红队通过利用错误配置、存在漏洞的服务、内核漏洞利用和弱权限来实现 root 访问。
performing-linux-log-forensics-investigation
对 Linux 系统日志(包括 syslog、auth.log、systemd journal、kern.log 和应用程序日志)进行取证调查,以重建用户活动、检测未授权访问并在被入侵的 Linux 系统上建立事件时间线。
investigating-ransomware-attack-artifacts
识别、收集和分析勒索软件攻击制品,以确定变种、初始访问向量、加密范围和恢复选项。
implementing-ticketing-system-for-incidents
实施集成事件工单系统,将 SIEM 告警对接 ServiceNow、Jira 或 TheHive, 用于结构化事件跟踪、SLA 管理、升级工作流和合规文档记录。 适用于 SOC 团队需要通过自动化工单创建、分配路由和解决跟踪来规范事件生命周期管理时。
implementing-patch-management-for-ot-systems
本技能涵盖为OT/ICS环境实施结构化补丁管理程序,在传统IT补丁方法可能导致过程中断或安全隐患的情况下进行管理。内容包括供应商兼容性测试、基于风险的补丁优先级排序、通过测试环境的分阶段部署、维护窗口协调、回滚程序,以及在因运营约束或供应商限制无法应用补丁时的补偿控制措施。
implementing-code-signing-for-artifacts
本技能涵盖为构建产物实施代码签名,以确保软件供应链中的完整性和真实性。 内容包括使用 GPG、Sigstore 和平台专用签名工具对二进制文件、软件包和容器进行签名, 建立信任链,以及在部署管道中验证签名。
hardening-linux-endpoint-with-cis-benchmark
使用 CIS Benchmark 建议对 Ubuntu、RHEL 和 CentOS 的 Linux 端点进行加固, 以减少攻击面、执行安全基线并满足合规要求。适用于部署新 Linux 服务器、修复审计发现 或为 Linux 基础设施建立安全基线的场景。
extracting-windows-event-logs-artifacts
使用 Chainsaw、Hayabusa 和 EvtxECmd 提取、解析和分析 Windows 事件日志(EVTX),以检测横向移动、持久化和权限提升。
extracting-memory-artifacts-with-rekall
使用 Rekall 内存取证框架分析内存转储,检测进程空洞化(process hollowing)、通过 VAD 异常注入的代码、隐藏进程和 rootkit。应用 pslist、psscan、vadinfo、malfind 和 dlllist 等插件从 Windows 内存镜像中提取取证工件。适用于应急响应内存分析场景。
extracting-browser-history-artifacts
从 Chrome、Firefox 和 Edge 中提取并分析浏览器历史记录、Cookie、缓存、下载记录和书签,以获取用户网络活动的取证证据。
eradicating-malware-from-infected-systems
系统性地清除受感染系统中的恶意软件、后门和攻击者持久化机制,确保彻底根除并防止再次感染。
detecting-attacks-on-scada-systems
本技能涵盖检测针对数据采集与监控(SCADA)系统的网络攻击,包括工业协议的中间人攻击、向PLC注入未授权命令、HMI入侵、历史数据操纵以及对控制系统通信的拒绝服务攻击。它利用OT专用入侵检测系统、工业协议异常检测和过程数据分析来识别传统IT安全工具无法发现的攻击。