查看原文
其他

Linux 应急响应手册 v1.7

NOP Team NOP Team 2023-07-11

简介

本次更新主要加入了恶意软件包供应链攻击处置流程、sudo后门检查(这部分文章因为一些原因还没发出来,倒是检查方法先发出来了),善后阶段进行一些调整

本次新增了常见问题的解决方法这个大章节,主要是因为之前这些解决办法分散在各个部分,导致很多朋友遇到比较棘手的问题时没想到问题答案手册里就有,所以以后把这些内容单拿出来做一个章节,目前这部分有三个常见问题

  • 文件无法删除
  • netstat -pantu 不显示pid和进程文件,显示 -
  • pstop 等命令无法看到恶意进程

更新日记:

v1.7

20230427

  • 增加恶意软件包供应链攻击处置流程
  • 增加常见问题的解决方法章节,其中包含 文件无法删除、netstat -pantu不显示pid、ps,top无法看到恶意进程
  • 善后阶段部分增加 sudo 配置检查
  • 善后阶段增加第三方软件源GPG密钥检查

20230219

  • 善后阶段部分增加软件及其配置文件完整性检查
  • 小技巧-系统完整性检查章节 debsums 命令增加了 --changed参数

v1.6

20230106

  • 小技巧章节添加拷贝取证
  • 善后阶段添加进程启动文件检查
  • 各个场景的删除恶意文件章节添加一种目录无法删除的场景
  • 处置前准备章节添加启动U盘和数据存储硬盘

20221116

  • 善后阶段 history 章节添加了一种不会记录history的情况

v1.5

2022.9.30

  • 完善远控后门章节,增加与C&C隐藏的对抗章节
  • 增加非持续性事件处置流程及方法
  • 小技巧模块增加批量查找文件并打印信息(防守常用)

v1.4

2022.4.30

  • 小技巧新增数据恢复章节
  • 完善挖矿和远控后门,新增确定程序运行时间章节
  • 善后阶段-日志分析新增 ssh-key 追踪
  • 修复了 1.3 版本善后阶段序号错误问题
  • 更新 pstree 参数:acU -> agplU; agpU -> agplU
  • 精简了善后阶段bash函数章节

v1.3

2021.11.23

  • 善后阶段增加 capabilities 权限配置检查(提权)
  • 善后阶段增加 iptables 配置检查 (端口复用)
  • 善后阶段增加密码填充检查
  • 善后阶段将服务检查单列了一个小节
  • 善后阶段增加了 ASLR 配置检查
  • 知识点附录增加线程文件夹位置相关内容
  • 知识点附录删除了 Bash 函数默认情况

v1.2

2021.9.10

  • 善后阶段增加了 BASH 内置命令检查
  • 善后阶段增加了 BASH 函数的检查
  • 善后阶段完善了环境变量查看方法 declare
  • 小技巧新增文本内容对比方法

2021.8.19

  • 补充了动态库劫持相关内容

v1.1

2021.7.1

  • 解决了上一版本中图片缺失问题
  • 增加 ssh config 后门检查
  • 增加 ptrace_scope 配置检查
  • 更新了部分文字表达

v1.0

2020.5.3

hello world


Linux 应急响应手册 v1.7 发行版

https://pan.baidu.com/s/1aQROHyz-BXklOMkcl08wSw?pwd=2vt3 

提取码: 2vt3

往期文章



有态度,不苟同

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存