网络安全应急响应是在特定网络和系统面临或已经遭突然攻击行为时，进行快速应急反应，提出并实施应急方案。

作为一项综合性工作，网络安全应急响应不仅涉及入侵检测、事件诊断、攻击隔离、快速恢复、网络追踪、计算机取证、自动响应等关键技术，对安全管理和安全人也提出更高的要求。

为此，给大家分享一份应急响应实战笔记，共168页6大章，包括入侵排查、日志分析、权限维持、实战等内容，图文并茂，内容详尽，非常适合安全人/爱好者学习参考。

目录

• 入侵排查篇
  

• 日志分析篇

• 权限维持篇

• Windows实战篇
  

• Linux实战篇
  

• Web实战篇

入侵排查篇

常见的应急响应事件分类为：Web入侵（网页挂马、主页篡改、Webshell）、系统入侵（病毒木马、勒索软件、远控后门）、网络攻击（DDOS攻击、DNS攻击、APR欺骗）等。

• 第1篇：Window入侵排查

• 第2篇：Linux入侵排查

• 第3篇：常见的Webshell查杀工具

• 第4篇：如何发现隐藏的Webshell后门

• 第5篇：勒索病毒自救指南

日志分析篇

Windows系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。

• 第1篇:Window日志分析

• 第2篇:Linux日志分析

• 第3篇:Web日志分析

• 第4篇:MSSQL日志分析

• 第5篇:MySQL日志分析

Linux实战篇

SSH是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议，主要用户给远程登录会话数据进行加密，保证数据传输的安全。

• 第1篇：SSH暴力破解

• 第2篇：捕捉短连接

• 第3篇：挖矿病毒

• 第4篇：盖茨木马

• 第5篇：DDOS病毒

• 第6篇：Shell病毒

Web实战篇

网站被植入Webshell，意味着网站存在可利用的高危娄工，攻击者通过利用漏洞入侵网站，写入Webshell接管网站的控制权。为了得到权限，常规的手段如：前后台任意文件上传，远程命令执行，sql注入写入文件等。

• 第1篇：网站被植入Webshell

• 第2篇：门罗币恶意挖矿

• 第3篇：批量挂黑页

• 第4篇：新闻源网站劫持

• 第5篇：移动端劫持

• 第6篇：搜索引擎劫持

• 第7篇：网站首页被篡改

• 第8篇：管理员账号被篡改

• 第9篇：编辑器入侵事件

注：资料源自网络，仅作免费交流分享，侵删

原文始发于微信公众号（渗透Xiao白帽）：干货 | 应急响应实战指南