Jeder Forensik-Lauf schreibt zusätzlich findings.json — einen maschinenlesbaren Export aller Befunde.
Inhalt
run_id, Host, Domain, Zeitstempel- Verdikte (root/wpdb) + Zähler (crit/warn/ok) + Metriken (Webshells, WP-Installs, SSH-Fehlversuche, Domains)
- actionable: Webshell-Dropper, PHP-in-Uploads, SUID, tmp-Executables, Immutable, verdächtige Cron/systemd, Persistenz, Prozesse, WP-Configs, Fremd-SSH-Keys, IOC-IPs (Angreifer + Brute-Force)
Eigenschaften
- Reines Bash-JSON — kein
jq-Zwang, läuft auf minimalen Servern. - In SHA256-Versiegelung + Übergabe-Archiv aufgenommen (Chain-of-Custody).
- Leere Kategorien =
[].
Dient als sauberer Vertrag für nachgelagerte Remediation-Werkzeuge. Beispiel: examples/findings.json.