Linux 应急响应手册 v1.9 【重要更新】

admin

139653
文章

114
评论

2024年8月2日07:33:24评论178 views字数 6647阅读22分9秒阅读模式

简介

大家好，《Linux 应急响应手册 v1.9》发布啦！

下载链接在文末

本次从实用角度来说，是一个大更新，解决了两个大问题，以及 30 多项更新

两个大问题是：

Windows 平台的 Adobe acrobat DC 、Firefox 浏览器、Edge浏览器等打开手册出现无法显示目录、内容为空白等问题
全平台无法搜索，复制内容后，粘贴会出现乱码的情况

第一个大问题产生的原因是封面添加方式，之前一直是使用 MacOS 自带的预览程序添加的封面，这会导致 MacOS 以外的其他平台部分程序解析出现问题，这也是 Github 上放置项目以后得到的最有价值的反馈，感谢反馈的朋友们，这是直接影响手册效果的大问题，这次我们解决了，解决方法是通过 WPS 添加封面，感谢 WPS

第二个大问题产生的原因是 Typora 的 Mint 主题没有包含中文字体，所以我们通过修改该主题的源代码解决了导出 PDF 无法搜索、复制粘贴乱码的问题

这两个问题对使用之前手册的用户影响太大了，希望大家帮忙多多转发，尽可能将本次更新传递到用户们手里！

Adobe acrobat DC

Edge

Firefox

大家的反馈对这本手册的发展很重要，我们将大家的反馈信息列表放在了下面，我们将下载链接放在文末就是希望大家可以看到提供反馈的用户以及具体反馈的内容，也是我们对于反馈的朋友们的公开回复，感谢大家反馈～

更新日记

v1.9 - 2024.8.1

更改使用了9版的 Linux 应急响应手册封面

修复了 Windows 平台无法查看目录或显示空白的问题

修复了手册无法搜索、复制中文的问题

新增 注意事项 章节

删除事件预警来源章节

完善勒索病毒处置流程

添加隧道处置流程

常规安全检查添加了0x30 内核模块签名配置检查

常规安全检查添加了0x31 签名不合法的内核模块

常规安全检查添加了0x32 PAM 检查

常规安全检查添加了0x33 /proc 与 ps 进程对比

常规安全检查添加了0x34 Trap 检查

常规安全检查添加了0x35 家目录模板检查

暴力破解章节完善了 Rocky/Centos 案例

常见问题的解决方法添加两种 netstat 不显示 pid 的情况概述

常见问题的解决办法添加 0x04 终端出现乱码的解决办法

完善 ps 命令，加入 -w 参数防止显示截断

知识点附录添加 0x06 history 无记录的可能原因

小技巧章节添加 0x13 如何暂停进程/冻结进程

小技巧章节添加 0x14 查找特定时间段内的文件

小技巧章节添加 0x15 内存中搜索字符串

小技巧章节添加了 0x16 配置文件检查小技巧

小技巧章节添加了进程&容器抓包

修复了小技巧 -> 0x08 数据恢复章节关于进程占用文件被删的恢复方法

丰富了威胁情报部分的地址

丰富了沙箱部分的地址

修复了挖矿病毒部分的标题文字错误

修复非持续事件部分的文字错误

非持续事件处置流程添加常规安全检查阶段

暴力破解处置流程添加常规安全检查阶段

恶意软件包供应链攻击处置流程添加常规安全检查阶段

完善全局文件内容搜索技巧

添加了 lslogins 程序

v1.8 - 2023.8.11

v1.7 - 2023.4.27

v1.6 - 2023.1.6

v1.5 - 2022.9.29

v1.4 - 2022.4.29

v1.3 - 2021.11.24

v1.2 - 2021.9.10

v1.1 - 2021.7.1

v1.0 - 2021.5.13

hello world - 2020.5.3

用户反馈列表

在反馈过程中，除了 Github 上提交的反馈，我们都会询问是否公开反馈者信息，没有取得明确回复可以公开的情况下，以 路人甲 代表

微信公众号无法主动留言，导致部分反馈者没能联系上，朋友们如果看到自己的反馈以 路人甲 代表，可以联系我们修改

1. Windows 平台打开手册部分程序无法显示目录

反馈项	反馈信息
反馈编号	LYJXY-0001
反馈者	AvenMay
反馈时间	2024-07-10 16:36
反馈途径	公众号文章留言
反馈内容	Edge 等浏览器显示空白
完成情况	已修复
完成时间	2024-08-01 22:30
备注信息

2. 手册无法搜索、复制中文

反馈项	反馈信息
反馈编号	LYJXY-0002
反馈者	NOP Team
反馈时间	2024-07-11 17:36
反馈途径	作者自查
反馈内容	手册无法搜索、复制中文
完成情况	已修复
完成时间	2024-08-01 22:30
备注信息

3. 常规安全检查添加 pam 后门部分

反馈项	反馈信息
反馈编号	LYJXY-0003
反馈者	NOP Team
反馈时间	2024-07-14 16:51
反馈途径	作者自查
反馈内容	常规安全检查添加 pam 后门部分
完成情况	已完成
完成时间	2024-07-30 21:57
备注信息

4. 暴力破解章节加入 Centos 系案例

反馈项	反馈信息
反馈编号	LYJXY-0004
反馈者	NOP Team
反馈时间	2024-07-14 18:46
反馈途径	作者自查
反馈内容	暴力破解章节加入 Centos 系案例
完成情况	已完善
完成时间	2024-08-01 00:32
备注信息	基本通用，只修改了小部分

5. 新增章节 —— 需要注意的问题

反馈项	反馈信息
反馈编号	LYJXY-0005
反馈者	NOP Team
反馈时间	2024-05-14 15:38
反馈途径	作者自查
反馈内容	添加一个新章节，告诉大家需要注意的问题，例如 `rm ./*` 是不会删除以 `.` 开头的文件和文件夹的
完成情况	已完成
完成时间	2024-07-14 23:40
备注信息

6. netstat 不显示pid情况 +1

反馈项	反馈信息
反馈编号	LYJXY-0006
反馈者	NOP Team
反馈时间	2024-05-14 15:38
反馈途径	作者自查
反馈内容	netstat 不显示pid情况 +1
完成情况	已完成
完成时间	2024-07-30 21:58:03
备注信息

7. ps 命令加入 -w 参数

反馈项	反馈信息
反馈编号	LYJXY-0007
反馈者	NOP Team
反馈时间	2024-05-14 15:38
反馈途径	作者自查
反馈内容	ps 的 -w 参数可以保证显示内容不被截断
完成情况	已完成
完成时间	2024-07-30 23:23:03
备注信息	目前仅添加了参数，部分图片没有修改，后续升级版本截图时一并修改

8. 常见问题的解决办法章节添加 history 无记录情况

反馈项	反馈信息
反馈编号	LYJXY-0008
反馈者	NOP Team
反馈时间	2024-05-14 15:38
反馈途径	作者自查
反馈内容	常见问题的解决办法章节添加 history 无记录情况
完成情况	已完成
完成时间	2024-07-30 22:58:03
备注信息	最终考虑再三，放在了知识点附录里

9. 比对 ps 命令与 proc 目录中 pid 的不同

反馈项	反馈信息
反馈编号	LYJXY-0009
反馈者	NOP Team
反馈时间	2024-05-14 15:38
反馈途径	作者自查
反馈内容	比对 ps 命令与 proc 目录中 pid 的不同，若存在 ps 中没有，但是 proc 目录中有 pid 的可能为恶意进程
完成情况	已完成
完成时间	2024-07-30 22:38:12
备注信息

10. 添加查找特定时间段创建、修改文件

反馈项	反馈信息
反馈编号	LYJXY-0010
反馈者	NOP Team
反馈时间	2024-04-29 15:29
反馈途径	作者自查
反馈内容	查找文件部分添加查找特定时间段创建、修改文件，这有助于找到特定时段攻击者创建或修改的恶意文件
完成情况	已添加
完成时间	2024-07-19 22:15
备注信息

11. 添加终端乱码重置的办法

反馈项	反馈信息
反馈编号	LYJXY-0011
反馈者	NOP Team
反馈时间	2024-04-29 15:29
反馈途径	作者自查
反馈内容	有时查看二进制文件后，会使终端乱码，添加如何重置的方法
完成情况	已添加
完成时间	2024-07-15 12:09
备注信息

12. 修复文件被删除的恢复方法

反馈项	反馈信息
反馈编号	LYJXY-0012
反馈者	NOP Team
反馈时间	2024-03-21 11:23
反馈途径	作者自查
反馈内容	之前的内容是通过 proc 虚拟结构的 fd 来恢复文件被删除但仍被进程占用的文件，在之前的文章中有朋友指出不需要从 fd 中恢复
完成情况	已修复
完成时间	2024-07-30 23:06:23
备注信息

13. Linux 实现内存中查找字符串

反馈项	反馈信息
反馈编号	LYJXY-0013
反馈者	NOP Team
反馈时间	2024-03-06 17:05
反馈途径	作者自查
反馈内容	Windows 可以实现内存中查找字符串，Linux 中是否可以呢？
完成情况	已完成
完成时间	2024-07-31 00:08
备注信息

14. 内核模块签名相关配置检查

反馈项	反馈信息
反馈编号	LYJXY-0014
反馈者	NOP Team
反馈时间	2024-02-27 16:15
反馈途径	作者自查
反馈内容	检查内核模块加载是否校验签名
完成情况	已添加
完成时间	2024-07-18 00:42
备注信息

15. 内核模块签名校验

反馈项	反馈信息
反馈编号	LYJXY-0015
反馈者	NOP Team
反馈时间	2024-02-27 16:15
反馈途径	作者自查
反馈内容	校验内核模块是否存在有效签名
完成情况	已添加
完成时间	2024-07-19 22:04
备注信息	按照公开方法，目前无法有效找到验证签名的公钥，采用日志的方式进行辅助判断

16. trap 检查

反馈项	反馈信息
反馈编号	LYJXY-0016
反馈者	NOP Team
反馈时间	2024-01-12 13:29
反馈途径	作者自查
反馈内容	检查是否存在 trap 后门
完成情况	已添加
完成时间	2024-07-31 22:45:02
备注信息

17. 完善威胁情报部分链接

反馈项	反馈信息
反馈编号	LYJXY-0017
反馈者	NOP Team
反馈时间	2023-12-29 10:57
反馈途径	作者自查
反馈内容	修复部分威胁情报的链接，添加部分威胁情报网站
完成情况	已完善
完成时间	2024-07-15 00:05
备注信息

18. 添加 process monitor 的使用

反馈项	反馈信息
反馈编号	LYJXY-0018
反馈者	NOP Team
反馈时间	2023-12-29 10:57
反馈途径	作者自查
反馈内容	考虑添加 process monitor Linux 版
完成情况	暂不添加
完成时间
备注信息	目前没有看出明显优势，后期可以和其他工具一起加入

19. 挖矿部分标题文字修复

反馈项	反馈信息
反馈编号	LYJXY-0019
反馈者	NOP Team
反馈时间	2023-12-29 10:57
反馈途径	作者自查
反馈内容	0x05 标题少了一个空格
完成情况	已修复
完成时间	2024-07-15 00:05
备注信息

20. 完善沙箱部分

反馈项	反馈信息
反馈编号	LYJXY-0020
反馈者	NOP Team
反馈时间	2023-12-29 10:57
反馈途径	作者自查
反馈内容	完善沙箱部分，添加一些沙箱地址
完成情况	已完善
完成时间	2024-07-15 00:06
备注信息

21. 添加进程暂停技巧

反馈项	反馈信息
反馈编号	LYJXY-0021
反馈者	NOP Team
反馈时间	2023-12-29 10:57
反馈途径	作者自查
反馈内容	添加进程暂停技巧
完成情况	已添加
完成时间	2024-07-18 00:22
备注信息	后期可能会放到各个处置流程中去

22. 修复非持续事件部分文字错误【文字错误】

反馈项	反馈信息
反馈编号	LYJXY-0022
反馈者	NOP Team
反馈时间	2023-12-29 10:57
反馈途径	作者自查
反馈内容	0x02 修改域名解析记录章节中括号内内存 -> 内网
完成情况	已修复
完成时间	2024-07-15 00:04
备注信息

23. 非持续事件处置流程添加常规安全检查阶段

反馈项	反馈信息
反馈编号	LYJXY-0023
反馈者	NOP Team
反馈时间	2023-12-29 10:57
反馈途径	作者自查
反馈内容	非持续事件处置流程添加常规安全检查阶段
完成情况	已添加
完成时间	2024-07-18 00:13
备注信息

24. 改变更新日记的格式

反馈项	反馈信息
反馈编号	LYJXY-0024
反馈者	NOP Team
反馈时间	2024-07-14 19:42
反馈途径	作者自查
反馈内容	更新日记的格式太占空间了，往期更新日记只记录版本号和日期，本次更新日记详细展示
完成情况	已完善
完成时间	2024-07-14 20:11
备注信息

25. 改变PDF封面照片

反馈项	反馈信息
反馈编号	LYJXY-0025
反馈者	NOP Team
反馈时间	2024-07-14 19:42
反馈途径	作者自查
反馈内容	改变为和 Windows 版本一致
完成情况	已修改
完成时间	2024-08-01 22:30
备注信息

26. 改变简介部分描述

反馈项	反馈信息
反馈编号	LYJXY-0026
反馈者	NOP Team
反馈时间	2024-07-14 19:42
反馈途径	作者自查
反馈内容	改变为和 Windows 版本一致
完成情况	已修改
完成时间	2024-07-14 20:11
备注信息

27. 删除事件预警来源章节

反馈项	反馈信息
反馈编号	LYJXY-0027
反馈者	NOP Team
反馈时间	2024-07-14 20:11
反馈途径	作者自查
反馈内容	删除事件预警来源章节
完成情况	已删除
完成时间	2024-07-14 23:45
备注信息

28. 完善勒索病毒处置流程

反馈项	反馈信息
反馈编号	LYJXY-0028
反馈者	NOP Team
反馈时间	2024-07-14 23:30
反馈途径	作者自查
反馈内容	完善勒索病毒处置流程
完成情况	已完善
完成时间	2024-07-14 23:56
备注信息

29. 添加隧道处置流程

反馈项	反馈信息
反馈编号	LYJXY-0029
反馈者	NOP Team
反馈时间	2024-07-14 23:30
反馈途径	作者自查
反馈内容	添加隧道处置流程
完成情况	已添加
完成时间	2024-07-18 00:12
备注信息

30. 暴力破解处置流程添加常规安全检查阶段

反馈项	反馈信息
反馈编号	LYJXY-0030
反馈者	NOP Team
反馈时间	2024-07-15 00:01
反馈途径	作者自查
反馈内容	暴力破解处置流程添加常规安全检查阶段
完成情况	已添加
完成时间	2024-07-15 00:05
备注信息

31. 恶意软件包供应链攻击处置流程添加常规安全检查阶段

反馈项	反馈信息
反馈编号	LYJXY-0031
反馈者	NOP Team
反馈时间	2024-07-15 00:01
反馈途径	作者自查
反馈内容	恶意软件包供应链攻击处置流程添加常规安全检查阶段
完成情况	已添加
完成时间	2024-07-15 00:06
备注信息

32. 添加工具 ptcpdump

反馈项	反馈信息
反馈编号	LYJXY-0032
反馈者	NOP Team
反馈时间	2024-07-15 15:33
反馈途径	作者自查
反馈内容	添加工具 ptcpdump
完成情况	已完成
完成时间	2024-07-31 23:12:34
备注信息

33. 完善全局文件内容搜索技巧

反馈项	反馈信息
反馈编号	LYJXY-0033
反馈者	NOP Team
反馈时间	2024-07-17 13:26
反馈途径	作者自查
反馈内容	尝试使用 grep -rnl 这样只显示文件名字，不会显示内容
完成情况	已完善
完成时间	2024-07-17 19:02
备注信息

34. 添加 ls* 系列工具

反馈项	反馈信息
反馈编号	LYJXY-0034
反馈者	NOP Team
反馈时间	2024-07-17 13:26
反馈途径	作者自查
反馈内容	添加 lslogins
完成情况	已添加
完成时间	2024-07-31 22:50:35
备注信息

35. 用户家目录模板检查

反馈项	反馈信息
反馈编号	LYJXY-0035
反馈者	NOP Team
反馈时间	2024-07-24 21:26
反馈途径	作者自查
反馈内容	/etc/skel/ 是新建用户的家目录的模板，如果攻击者对其进行修改可能导致新创建的目录自带后门
完成情况	已添加
完成时间	2024-07-31 23:20:27
备注信息

36. 添加查看配置文件的小技巧

反馈项	反馈信息
反馈编号	LYJXY-0036
反馈者	NOP Team
反馈时间	2024-07-26 21:29
反馈途径	作者自查
反馈内容	添加 `grep -E -v '^s*($\|#)' config_file` ，排除井号开头的行以及空行，最好也包含其他注释
完成情况	已添加
完成时间	2024-07-31 23:08:34
备注信息

下载地址

https://pan.baidu.com/s/1eSqo14jkVnh5yYE1-eOUaQ?pwd=k2cw

https://github.com/Just-Hack-For-Fun/Linux-INCIDENT-RESPONSE-COOKBOOK

Hash 
md5: e19d1cba1f2e1656bb6e4f9e9b1a5cb9
sha-256: 08f96fd64a6faa53fdb9badf47f549ee182be2123c91e695348765a091acd686

原文始发于微信公众号（NOP Team）：Linux 应急响应手册 v1.9 【重要更新】

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

简介