ericklml/live-incident-response-4geeks

# 实时应急响应 — 4geeks-server 针对生产环境中一台 Ubuntu 20.04.6 LTS 服务器进行的应急响应技术报告，采用了**实时应急响应**（Live Incident Response）方法（实时检查，不关机）。 期末项目 — 网络安全 — 4Geeks Academy **作者：** Erick Ashley Loera Castillo **角色：** 网络安全分析师（蓝队 / Blue Team） ## 事件摘要 在 `4geeks-server` 服务器上检测到了异常活动。调查确认该系统是通过针对合法用户（`reports`）的**社会工程学**（Social Engineering）被攻破的，这使得外部攻击者能够： - 创建后门账户（`hacker`） - 下载并执行外部 payload - 安排数据外泄脚本（`backup2.sh`）通过 cron 每 15 分钟自动执行一次 - 将 `/etc/passwd` 和 `/etc/shadow`（所有账户的密码哈希）外泄到外部服务器（`192.168.1.100:8080`） 所有持久化机制均已被识别、移除并验证。受影响的凭据已进行轮换，且在未中断系统可用性的情况下完成了服务恢复。 ## 严重性 **严重** — 已确认系统密码哈希发生外泄（`/etc/shadow`）。 ## 仓库内容 ``` . ├── Informe_Tecnico_Live_Incident_Response.pdf # Informe completo └── evidencias/ # Capturas de pantalla numeradas ├── 01_etc_passwd_cuentas_no_autorizadas.png ├── 02_ingenieria_social_chat_note.png ├── 03_install_sh_dropper.png ├── 04_backup2sh_script_exfiltracion.png ├── 05_backuplog_exfiltracion_shadow.png ├── 06_crond_listado_sys_maintenance.png ├── 07_crond_contenido_cronjob_malicioso.png ├── 08_credenciales_texto_plano.png ├── 09_home_hacker_contenido.png ├── 10_home_reports_contenido.png ├── 11_remediacion_eliminacion_persistencia.png ├── 12_remediacion_servicios_verificacion.png ├── 13_firewall_ufw_puerto21.png ├── 14_verificacion_payload_no_activo.png └── 15_servicio_restaurado.png ``` ## 报告结构 1. 事件执行摘要与时间线 2. 方法论 — 实时应急响应（Live Incident Response） 3. 影响分析（机密性、完整性、可用性） 4. 详细技术发现（附证据） 5. 入侵指标（IOC） 6. 映射至 MITRE ATT&CK 7. 遏制、根除与恢复措施 8. 安全加固建议 9. 结论 ## 主要入侵指标（IOC） | 类型 | 指标 | |---|---| | 攻击者 IP | `192.168.1.100:8080` | | 未经授权的账户 | `hacker` (UID 1002)，被攻陷的 `reports` (UID 1001) | | 持久化机制 | `/etc/cron.d/sys-maintenance` | | 数据外泄脚本 | `/usr/local/bin/backup2.sh` | | 攻击者邮箱 | `unknown@externalmail.com` | ## 免责声明 本报告是在受控的实验室环境（4Geeks Academy 的学术项目）中出于教育目的编制的。其中展示的 IP、凭据和用户名均属于练习用的虚拟机，不代表真实的系统生产环境。

标签：HTTP工具, 安全报告, 库, 应急响应, 应用安全, 数字取证, 网络安全, 网页分析工具, 自动化脚本, 隐私保护