4GeeksAcademy/final-project-live-incident-response-cs-11

# 🔵 实时事件响应 - 4Geeks Academy ## 📖 概述 本仓库包含一项在受控环境中针对受损 Linux 服务器进行的**实时事件响应 (Live Incident Response)** 练习。目标是识别攻击向量、分析恶意活动、控制威胁、清除持久化机制并恢复系统安全。 ## 🎯 目标 * 🔍 调查受损 Linux 系统中的安全事件。 * 🧩 根据数字取证证据重建攻击链。 * 🛡️ 识别被利用的漏洞和持久化机制。 * 🚨 执行遏制、清除和恢复操作。 * 📝 记录发现的安全问题和建议。 ## 🔬 方法论 本次调查遵循了**实时事件响应 (Live Incident Response)** 原则和数字取证最佳实践，并以 **NIST SP 800-61**（安全事件处理指南）为参考。 ### 执行的活动 * 👥 枚举用户和权限。 * ⚙️ 分析活动进程和服务。 * 📂 审查关键文件和目录。 * 📜 分析日志和取证证据。 * 🎣 识别初始攻击向量。 * 🔗 检测持久化机制。 * 🚫 遏制和清除威胁。 * 🔒 实施 hardening（加固）措施。 ## 🚨 主要发现 在调查过程中发现了多个安全问题： * 🔑 凭据以明文形式存储。 * 👤 创建恶意账户以实现持久化。 * 📩 通过社会工程学执行脚本。 * ⏰ 通过恶意的 cronjobs 实现持久化。 * 📤 将敏感信息泄露到外部服务器。 * 🌐 暴露了不必要的服务。 ## 🛠️ 使用的工具 * 🐧 Linux Debian * 💻 Bash * 🔎 awk * 🔍 grep * ⚙️ systemctl * ⏰ cron * 📜 journalctl * 🗂️ syslog * 📦 tar ## ✅ 结果 事件响应结束后，成功实现了： * ✔️ 重建完整的入侵攻击链。 * ✔️ 清除持久化机制。 * ✔️ 撤销恶意访问权限。 * ✔️ 更换受损的凭据。 * ✔️ 减少系统的攻击面。 * ✔️ 在恢复后验证服务器的完整性。 ## 📚 参考 * NIST SP 800-61 - Computer Security Incident Handling Guide * MITRE ATT&CK Framework * Common Weakness Enumeration (CWE) ## 👥 Blue Team 团队 * Christopher García * Alejandro Franco * Adolfo Muñoz * Néstor Cáceres * Nataly Castañeda

标签：后端开发, 应用安全