其他
Linux 应急响应手册 v1.7
简介
本次更新主要加入了恶意软件包供应链攻击处置流程、sudo后门检查(这部分文章因为一些原因还没发出来,倒是检查方法先发出来了),善后阶段进行一些调整
本次新增了常见问题的解决方法这个大章节,主要是因为之前这些解决办法分散在各个部分,导致很多朋友遇到比较棘手的问题时没想到问题答案手册里就有,所以以后把这些内容单拿出来做一个章节,目前这部分有三个常见问题
文件无法删除 netstat -pantu
不显示pid和进程文件,显示-
ps
、top
等命令无法看到恶意进程
更新日记:
v1.7
20230427
增加恶意软件包供应链攻击处置流程 增加常见问题的解决方法章节,其中包含 文件无法删除、 netstat -pantu
不显示pid、ps,top无法看到恶意进程善后阶段部分增加 sudo
配置检查善后阶段增加第三方软件源GPG密钥检查 20230219
善后阶段部分增加软件及其配置文件完整性检查 小技巧-系统完整性检查章节 debsums 命令增加了 --changed
参数v1.6
20230106
小技巧章节添加拷贝取证 善后阶段添加进程启动文件检查 各个场景的删除恶意文件章节添加一种目录无法删除的场景 处置前准备章节添加启动U盘和数据存储硬盘 20221116
善后阶段 history 章节添加了一种不会记录history的情况 v1.5
2022.9.30
完善远控后门章节,增加与C&C隐藏的对抗章节 增加非持续性事件处置流程及方法 小技巧模块增加批量查找文件并打印信息(防守常用) v1.4
2022.4.30
小技巧新增数据恢复章节 完善挖矿和远控后门,新增确定程序运行时间章节 善后阶段-日志分析新增 ssh-key 追踪 修复了 1.3 版本善后阶段序号错误问题 更新 pstree 参数:acU -> agplU; agpU -> agplU 精简了善后阶段bash函数章节 v1.3
2021.11.23
善后阶段增加 capabilities 权限配置检查(提权) 善后阶段增加 iptables 配置检查 (端口复用) 善后阶段增加密码填充检查 善后阶段将服务检查单列了一个小节 善后阶段增加了 ASLR 配置检查 知识点附录增加线程文件夹位置相关内容 知识点附录删除了 Bash 函数默认情况 v1.2
2021.9.10
善后阶段增加了 BASH 内置命令检查 善后阶段增加了 BASH 函数的检查 善后阶段完善了环境变量查看方法 declare 小技巧新增文本内容对比方法 2021.8.19
补充了动态库劫持相关内容 v1.1
2021.7.1
解决了上一版本中图片缺失问题 增加 ssh config 后门检查 增加 ptrace_scope 配置检查 更新了部分文字表达 v1.0
2020.5.3
hello world
Linux 应急响应手册 v1.7 发行版
https://pan.baidu.com/s/1aQROHyz-BXklOMkcl08wSw?pwd=2vt3
提取码: 2vt3
往期文章
更新源后门 | Linux 后门系列 APT是如何杜绝软件包被篡改的 如何带走一个“鲜活”的进程 | Linux 应急响应 LD_PRELOAD 后门 | Linux 后门系列 LD_PRELOAD 劫持 PWD 为什么失败了 | Linux 后门系列