varovargas426/Final-project---Live-Incident-Response

# 最终项目 – 实时事件响应 ## 概述 本代码库包含我为 4Geeks Academy 完成的网络安全最终项目。 该项目基于对一台受损 Ubuntu 服务器的**实时事件响应** 调查。目标是分析活动系统，识别恶意活动，移除攻击者的持久化控制，并将服务器恢复到更安全的状态。 ## 环境 | 项目 | 值 | |---|---| | 主机名 | `4geeks-server` | | IP 地址 | `192.168.1.251` | | 操作系统 | Ubuntu 20.04.6 LTS | | 方法论 | 实时事件响应 | | 分析师 | Álvaro Vargas | ## 代码库文件 . ├── README.md ├── Incident_Response_Report.pdf └── Incident_Response_Presentation.pdf 主要发现 在调查过程中，发现了以下入侵指标： 未授权用户账户：hacker /home/reports/chat.txt 中的可疑社会工程学消息 恶意脚本：/home/reports/install.sh 持久化 cronjob：/etc/cron.d/sys-maintenance 数据窃取脚本：/usr/local/bin/backup2.sh 暂存归档文件：/tmp/secrets.tgz 攻击者 IP 地址：192.168.1.100 修复措施 执行了以下操作： 阻止了发往 192.168.1.100 的出站流量 移除了恶意 cronjob 移除了数据窃取脚本 删除了恶意的临时文件 验证了可疑用户已不存在 审查了防火墙规则、开放端口和路由表 建议禁用 FTP 并加强服务器安全加固 实践技能 实时事件响应 Linux 服务器调查 Cronjob 分析 持久化检测 防火墙审查 数据窃取分析 系统修复 技术报告编写 结论 调查确认该服务器是通过一个恶意脚本被入侵的。攻击者利用 cron 持久化控制，重复压缩 `/etc/passwd` 并将其窃取到外部服务器。 恶意痕迹已被识别并移除，攻击者 IP 也已被封锁。 作者 Álvaro Vargas 网络安全学生 – 4Geeks Academy

标签：4Geeks Academy, Cronjob分析, Live Incident Response, OPA, SOC分析师, Ubuntu服务器, 子域名变形, 安全报告, 安全项目, 实时事件响应, 库, 应急响应, 恶意脚本分析, 持久化检测, 数字取证, 数据包嗅探, 数据窃取分析, 无线安全, 系统修复, 系统加固, 网络安全, 网页分析工具, 自动化脚本, 隐私保护, 靶场, 靶场实战