rauljvc8/4geeks-live-incident-response

最终项目 — 实时应急响应 4Geeks Academy · 网络安全 · 2026年6月 学生：Raul J. Velasquez ## 描述 针对被入侵 Linux 服务器的实时应急响应分析。目标是在不中断服务的情况下，识别、遏制并清除正在进行的入侵。 ## 仓库结构 | 文件 | 描述 | |---|---| | Informe_Tecnico_Incident_Response_4Geeks_FINAL.docx | 完整的技术报告（72页），包含证据、分析和建议 | | Fase1_Hallazgos_RaulVelasquez.pptx | 第一阶段演示文稿 — 侦查与发现 | | Guion_Presentacion_Fase1_RaulVelasquez.docx | 包含命令讲解的演示讲稿。 | | PASO*.png | 被入侵服务器的证据截图 | | FASE 2/ | 第二阶段文档 — 补救与恢复 | ## 项目阶段 ### 第一阶段 — 侦查与识别 * 系统状态分析（uptime、RAM、kernel、网络） * 检测未经授权的用户（reports, hacker） * 认证日志分析（auth.log） * 识别可疑端口（FTP 端口 21） * 社会工程学证据（通过电子邮件进行 phishing） * 发现恶意 cronjob（backup2.sh）每 15 分钟窃取一次凭证 ### 第二阶段 — 遏制、清除与恢复 * 删除 backdoor 用户 * 移除恶意脚本和计划任务 * 重新配置防火墙（UFW） * 更换已泄露的凭证 * 验证系统完整性 ## 主要发现 * 通过社会工程学和直接访问创建了 2 个未经授权的用户 * 约 1 年内，每 15 分钟通过 HTTP POST 窃取一次凭证 * 未经授权激活了 FTP 服务（端口 21） * 通过恶意 cronjob（/etc/cron.d/sys-maintenance）实现持久化 ## 方法论 * **方法：** 实时应急响应（LIR） * **框架：** PICERL（准备、识别、遏制、清除、恢复、经验教训） * **映射：** MITRE ATT&CK (T1566, T1059.004, T1136.001, T1053.003, T1048.003) 学术项目 — 4Geeks Academy · 2026

标签：安全分析报告, 库, 应急响应, 应用安全, 数字取证, 网络安全, 自动化脚本, 隐私保护