Jlangley3360/Incident-Response-Report-Unauthorized-Persistence-Discovery
GitHub: Jlangley3360/Incident-Response-Report-Unauthorized-Persistence-Discovery
该项目是一份针对 Linux 系统未授权持久化入侵的安全事件响应调查报告,完整记录了发现、分析和确认 root crontab 恶意定时任务及隐藏恶意脚本的取证过程与结论。
Stars: 0 | Forks: 0
# 事件调查报告
## 概述
本次调查证实,系统是通过未经授权的持久化机制被攻陷的。攻击者通过 root crontab 建立了一个隐藏恶意脚本的定期执行机制。
## 调查发现
调查证实系统遭到入侵,具体特征如下:
### 持久化机制
在 root crontab 中发现了一个未经授权的条目,配置为每五分钟执行一次隐藏的 shell 脚本。
### 证据
下面的截图展示了通过 `cat` 命令发现恶意 cron job 的过程:
## 证据摘要
| 工件类型 | 路径 / 位置 | 描述 |
|------------------|------------------------------------------|--------------------------------------------------|
| 持久化 | `/var/spool/cron/crontabs/root` | 确认了恶意 cron job 的执行。 |
| 进程树 | `live_response/process/pstree.txt` | 捕获的系统进程层级结构。 |
| 系统状态 | `live_response/process/ps.txt` | 活动进程的完整快照。 |
## 结论
已确认系统因持久化后门而遭到入侵。
位于以下位置的恶意脚本:/tmp/.hidden_malware/malware.sh
被安排通过 root 级别的 cron job 每五分钟执行一次,证实了存在未经授权的持久化机制,且系统已完全被攻陷。
## 入侵指标 (IOCs)
- 恶意脚本:`/tmp/.hidden_malware/malware.sh`
- 持久化机制:root cron job (`/var/spool/cron/crontabs/root`)
- 执行间隔:每 5 分钟
标签:DAST, 安全事件调查, 库, 应急响应, 应用安全, 恶意软件分析, 数字取证, 系统运维, 自动化脚本