chaitanyaeshwarprasad/ACEP-Incident-Response-Lab

GitHub: chaitanyaeshwarprasad/ACEP-Incident-Response-Lab

一个 Linux 事件响应模拟实验室,通过在测试系统中部署多种攻击持久化痕迹,帮助安全学习者练习入侵检测与清理技能。

Stars: 0 | Forks: 0

# 🐧 Linux 事件响应实验室 欢迎使用 **Linux 事件响应实验室**。本仓库包含一个模拟脚本和一份调查手册,旨在教授并帮助大家实践 Linux 系统上的事件响应和威胁狩猎。 该实验室模拟了真实的攻击者持久化机制、未经授权的账户以及 Web Shell 指标,允许安全学生和专业人士练习检测和清理系统入侵。 ## 🎯 实验室功能与入侵指标 (IOC) 模拟脚本 (`linux_compromise_sim.sh`) 会在目标 Linux 系统上部署以下场景: 1. **后门用户创建**:创建一个具有 sudo 权限的用户账户 (`support-agent`) 以模拟未经授权的访问。 2. **SSH 持久化**:将攻击者的 SSH 公钥注入到默认用户的 `authorized_keys` 文件中。 3. **Cron Job 持久化**:配置一个定时执行的 cron job (`sysmaintenance`),运行位于 `/dev/shm` 的隐藏信标脚本。 4. **Systemd 服务后门**:注册并启动一个持久化系统服务 (`sysmaintenance.service`)。 5. **活跃后门监听器**:在 `4444` 端口生成一个活跃的 netcat 或 Python 后台监听器。 6. **模拟 Web 日志**:在 `/var/log/nginx/access.log` 生成 Web 访问日志,模拟 Web Shell 利用尝试。 ## 🚀 快速开始 ### 📋 前置条件 * 一个测试用的 Linux 环境(例如 Ubuntu、Debian、CentOS 或 Rocky Linux)。 * **请勿在生产系统上运行此模拟脚本。** * 运行模拟和清理操作均需要 Sudo/Root 权限。 ### 🕹️ 运行模拟 要在您的 Linux 机器上部署模拟入侵: ``` sudo chmod +x linux_compromise_sim.sh sudo ./linux_compromise_sim.sh simulate ``` ### 🧹 清理环境 要彻底删除所有模拟痕迹并将系统恢复到原始状态: ``` sudo ./linux_compromise_sim.sh cleanup ``` ## 👤 关于作者 由 **Chaitanya Eshwar Prasad** 创建并维护。欢迎与我联系或关注我的工作: [![Website](https://img.shields.io/badge/Website-chaitanyaeshwarprasad.com-005F9E?style=for-the-badge&logo=google-chrome&logoColor=white)](https://chaitanyaeshwarprasad.com) [![GitHub](https://img.shields.io/badge/GitHub-chaitanyaeshwarprasad-181717?style=for-the-badge&logo=github&logoColor=white)](https://github.com/chaitanyaeshwarprasad) [![LinkedIn](https://img.shields.io/badge/LinkedIn-Chaitanya%20Eshwar%20Prasad-0A66C2?style=for-the-badge&logo=linkedin&logoColor=white)](https://linkedin.com/in/chaitanya-eshwar-prasad) [![YouTube](https://img.shields.io/badge/YouTube-@chaitanya.eshwar.prasad-FF0000?style=for-the-badge&logo=youtube&logoColor=white)](https://www.youtube.com/@chaitanya.eshwar.prasad) [![Instagram](https://img.shields.io/badge/Instagram-@acep.tech.in.telugu-E4405F?style=for-the-badge&logo=instagram&logoColor=white)](https://instagram.com/acep.tech.in.telugu) [![YesWeHack](https://img.shields.io/badge/YesWeHack-chaitanya--eshwar--prasad-FF5E00?style=for-the-badge&logo=securityscorecard&logoColor=white)](https://yeswehack.com/hunters/chaitanya-eshwar-prasad) *免责声明:本仓库仅供教育和培训目的使用。*
标签:Cutter, 后门排查, 安全靶场, 库, 应急响应, 应用安全, 网络信息收集, 逆向工具