p1-sec/pypi-postscan-hardening
GitHub: p1-sec/pypi-postscan-hardening
面向疑似 PyPI 供应链攻击场景的 Linux 事件响应与入侵后加固脚本工具。
Stars: 0 | Forks: 0
# pypi-postscan-hardening
针对疑似 PyPI 供应链攻击的 Linux 系统事件响应和入侵后加固工具包。包含误报验证、systemd 审计、pip 加固、C2 阻断以及包完整性验证。
# PyPI IR 加固
针对疑似 PyPI 供应链攻击的 Linux 系统事件响应和入侵后加固工具包。
该脚本执行以下操作:
* 对可疑服务进行误报验证
* 调试 shell 检测与修复
* Python 进程调查
* 阻断已知的 C2 域名
* pip 加固
* 包黑名单强制执行
* 虚拟环境完整性验证
* 检测规则调优建议
## 功能
### 事件响应
* 验证可疑的 systemd 服务
* 审计被错误标记为恶意的 Ubuntu 服务
* 检查可疑的 Python 进程
* 验证可执行文件的位置和所有者
### 系统加固
* 禁用并 mask `debug-shell.service`
* 在 `/etc/hosts` 中阻断已知的 C2 域名
* 强制使用官方 PyPI 仓库
* 移除不安全的包镜像
* 配置安全的 pip 默认设置
### 供应链防护
拦截已知恶意包版本的安装:
```
lightning!=2.6.2,!=2.6.3
pytorch-lightning!=2.6.2,!=2.6.3
durabletask!=1.4.1,!=1.4.2,!=1.4.3
```
通过以下方式实现:
```
/etc/pip-security-constraints.txt
```
## 脚本检查内容
### 1. 误报验证
验证以下 Ubuntu 服务:
* ua-reboot-cmds.service
* esm-cache.service
* ubuntu-advantage.service
* ua-timer.service
* apt-news.service
是否合法且由 root 拥有。
### 2. 调试 Shell 检测
检查:
```
debug-shell.service
```
如果已启用:
* 停止该服务
* 禁用该服务
* 永久 mask 该服务
以防止在 tty9 上发生未经授权的 root 访问。
### 3. Python 进程调查
检查:
```
/proc/
```
收集:
* 可执行文件路径
* 命令行
* 工作目录
* 运行用户
如果 Python 从以下位置执行,则发出警告:
```
/tmp
/var/tmp
/dev/shm
```
这些是常见的恶意软件执行路径。
### 4. C2 域名阻断
自动将:
```
0.0.0.0 ddjidd564.github.io
```
添加到:
```
/etc/hosts
```
### 5. pip 加固
创建:
```
/etc/pip.conf
```
包含:
```
index-url = https://pypi.org/simple/
no-user-site = true
```
并移除不安全的镜像。
## 安装说明
克隆:
```
git clone https://github.com/YOUR_USERNAME/pypi-ir-hardening.git
cd pypi-ir-hardening
```
赋予执行权限:
```
chmod +x pypi_harden.sh
```
运行:
```
sudo ./pypi_harden.sh
```
## 示例输出
```
[DONE] debug-shell.service disabled and masked
[DONE] Created /etc/pip.conf
[DONE] C2 domain blocked
Machine status:
NOT compromised by PyPI supply chain attacks
```
## 测试环境
* Ubuntu 24.04 LTS
* Python 3.12
* systemd 255+
* pip 24+
## 安全说明
此工具适用于:
* 事件响应
* 入侵后验证
* PyPI 供应链调查
* Linux 安全加固
它不是恶意软件移除框架,应与以下工具结合使用:
* EDR
* SIEM
* IOC 扫描
* 威胁狩猎工作流
## 许可证
MIT License
## GitHub Topics
```
incident-response
linux-security
pypi
supply-chain-security
cybersecurity
threat-hunting
blue-team
pip
systemd
hardening
malware-analysis
soc
```
标签:Python, 库, 应急响应, 应用安全, 文档安全, 无后门, 系统加固, 网络信息收集, 逆向工具