简介

通过近期一些面试发现，很多师傅在应急过程中专注于技术处理，解决直接问题，安全设备无告警的情况下对于定损和针对性排查做的工作较少，这可能给应急工作带来一些缺陷，本次更新将原本的善后阶段更改为了其应该有的名字 —— 常规安全检查，而新的善后阶段主要内容就是定损和针对性排查，其他更新内容请看下面的更新日记

更新日记：

v1.8

20230811

• 原善后阶段 -> ssh key 章节添加 ssh key 后门检查
• 原善后阶段 -> history 信息章节添加显示历史命令执行具体时间的命令
• 小技巧章节添加 history 显示执行时间
• 小技巧章节添加 单独查看某个服务的日志
• 原善后阶段 -> 日志章节添加 journalctl 查看服务日志
• 原善后阶段添加计划任务日志
• 原善后阶段 -> 密码填充章节检查命令进行了增强，原命令可能出现漏报
• 处置前准备章节添加数据专用优盘
• 原善后阶段改为常规安全检查
• 新增善后阶段，主要包括定损以及针对性排查处理
• 各类事件处置流程中加入新的善后阶段以及常规安全检查

v1.7

20230427

• 增加恶意软件包供应链攻击处置流程
• 增加常见问题的解决方法章节，其中包含 文件无法删除、netstat -pantu不显示pid、ps,top无法看到恶意进程
• 善后阶段部分增加 sudo 配置检查
• 善后阶段增加第三方软件源GPG密钥检查

20230219

• 善后阶段部分增加软件及其配置文件完整性检查
• 小技巧-系统完整性检查章节 debsums 命令增加了 --changed参数

v1.6

20230106

• 小技巧章节添加拷贝取证
• 善后阶段添加进程启动文件检查
• 各个场景的删除恶意文件章节添加一种目录无法删除的场景
• 处置前准备章节添加启动U盘和数据存储硬盘

20221116

• 善后阶段 history 章节添加了一种不会记录history的情况

v1.5

2022.9.30

• 完善远控后门章节，增加与C&C隐藏的对抗章节
• 增加非持续性事件处置流程及方法
• 小技巧模块增加批量查找文件并打印信息（防守常用）

v1.4

2022.4.30

• 小技巧新增数据恢复章节
• 完善挖矿和远控后门，新增确定程序运行时间章节
• 善后阶段-日志分析新增 ssh-key 追踪
• 修复了 1.3 版本善后阶段序号错误问题
• 更新 pstree 参数：acU -> agplU; agpU -> agplU
• 精简了善后阶段bash函数章节

v1.3

2021.11.23

• 善后阶段增加 capabilities 权限配置检查（提权）
• 善后阶段增加 iptables 配置检查 （端口复用）
• 善后阶段增加密码填充检查
• 善后阶段将服务检查单列了一个小节
• 善后阶段增加了 ASLR 配置检查
• 知识点附录增加线程文件夹位置相关内容
• 知识点附录删除了 Bash 函数默认情况

v1.2

2021.9.10

• 善后阶段增加了 BASH 内置命令检查
• 善后阶段增加了 BASH 函数的检查
• 善后阶段完善了环境变量查看方法 declare
• 小技巧新增文本内容对比方法

2021.8.19

• 补充了动态库劫持相关内容

v1.12021.7.1

• 解决了上一版本中图片缺失问题
• 增加 ssh config 后门检查
• 增加 ptrace_scope 配置检查
• 更新了部分文字表达

v1.02020.5.3

hello world

Linux 应急响应手册v1.8 发行版

https://pan.baidu.com/s/1I0GQy7Cqnxy98LvQhrUIbA

提取码: vea5

往期文章