Linux 应急响应手册 2.0 发布！

简介 

大家好，《Linux 应急响应手册 v2.0》 发布啦！

本次更新主要是为各个应急响应场景添加了应急响应流程图，完善了各个场景的处置流程，新增了 TCP Wrappers 后门排查、udev 后门排查、Python .pth 后门排查等，完善了已有的部分排查项，删除了已经过时的信息。具体内容请前往文末下载最新版本的手册！

更新日记

v2.0 - 2025.2.27

• 各应急场景增加了流程图
• 完善了应急场景的处置流程，添加了确认攻击信息准确性
• 完善了应急场景的处置流程，添加了询问历史被攻击情况以及历史通报情况
• 常规安全检查章节添加了 TCP Wrappers 后门排查
• 常规安全检查章节添加了敏感目录排查
• 常规安全检查章节添加了 udev 后门排查
• 常规安全检查章节添加了 Python .pth 文件后门排查
• 常规安全检查章节完善了 profile 配置检查
• 常规安全检查章节完善了计划任务排查中 at 和 batch 的排查
• 小技巧 -> 查找特定时间段内的文件章节添加查找某段时间内创建的文件
• 完善处置前准备章节，增加了国产操作系统和《Windows 应急响应手册》的准备
• 完善了 pstree 命令查看指定 pid 的进程的线程信息
• 修复了小技巧章节 find 命令错误
• 修复了挖矿病毒章节 ps 命令错误
• 修复了由 sudo 本身引起的杀死进程组命令在 sudo 下失效的问题
• 修复了暴力破解 -> SSH 暴力破解章节文字错误
• 修复了数据恢复部分文字错误
• 修复了勒索病毒 -> 根据勒索病毒类型寻找解决方法中的文字错误
• 删除了安芯网盾沙箱
• 删除了绿盟威胁分析中心网址
• 删除了 WEBDIR+ 、Webshellkiller 工具的失效链接

v1.9 - 2024.8.1

v1.8 - 2023.8.11

v1.7 - 2023.4.27

v1.6 - 2023.1.6

v1.5 - 2022.9.29

v1.4 - 2022.4.29

v1.3 - 2021.11.24

v1.2 - 2021.9.10

v1.1 - 2021.7.1

v1.0 - 2021.5.13

hello world - 2020.5.3

用户反馈列表 

在反馈过程中，除了 Github 上提交的反馈，我们都会询问是否公开反馈者信息，没有取得明确回复可以公开的情况下，以 路人甲 代表

37. 小技巧章节 find 命令 -mmin 改为 -amin

38. 完善处置前准备章节

39. 修复挖矿病毒章节 ps 命令错误

40. pstree 命令查看指定pid的线程

41. 安芯网盾沙箱网站已失效

42. 暴力破解 -> SSH 暴力破解章节文字错误【文字错误】

43. 绿盟威胁分析中心网址失效

44. 勒索病毒章节-根据勒索病毒类型寻找解决方法中文字错误【文字错误】

45. Webshellkiller 等工具链接失效

46. 准备部分添加国产操作系统虚拟机

47. 添加一个在线病毒分析网站

48. 添加查找某段时间创建的文件

49. 全盘搜索文件内容部分 grep 添加 -a 参数

50. 常规安全检查章节添加 TCP Wrappers 后门排查

51. 常规安全检查章节添加敏感目录排查

52. 添加 udev 相关检查

53. 数据恢复部分文字错误【文字错误】

54. 杀死进程组命令与sudo 不兼容，导致失效

55. 增加shellpub webshell查杀工具

56. 每种应急场景添加流程图

57. 完善计划任务排查中 at 和 batch 的排查

58. 添加挂载点隐藏进程排查

59. 添加Python .pth 文件后门排查

60. 完善 profile 配置检查

61. 完善处置流程，添加确认攻击信息准确性

62. 完善处置流程，添加询问过往被攻击情况

1. Windows 平台打开手册部分程序无法显示目录

2. 手册无法搜索、复制中文

3.  常规安全检查添加 pam 后门部分

4.  暴力破解章节加入 Centos 系案例

5.  新增章节 —— 需要注意的问题

6.  netstat 不显示pid情况 +1

7.  ps 命令加入 -w 参数

8.  常见问题的解决办法章节添加 history 无记录情况

9.  比对 ps 命令与 proc 目录中 pid 的不同

10.  添加查找特定时间段创建、修改文件

11.  添加终端乱码重置的办法

12.  修复文件被删除的恢复方法

13.  Linux 实现内存中查找字符串

14.  内核模块签名相关配置检查

15.  内核模块签名校验

16.  trap 检查

17.  完善威胁情报部分链接

18.  添加 process monitor 的使用

19.  挖矿部分标题文字修复

20.  完善沙箱部分

21.  添加进程暂停技巧

22.  修复非持续事件部分文字错误【文字错误】

23.  非持续事件处置流程添加常规安全检查阶段

24.  改变更新日记的格式

25.  改变PDF封面照片

26.  改变简介部分描述

27.  删除事件预警来源章节

28.  完善勒索病毒处置流程

29.  添加隧道处置流程

30.  暴力破解处置流程添加常规安全检查阶段

31.  恶意软件包供应链攻击处置流程添加常规安全检查阶段

32.  添加工具 ptcpdump

33.  完善全局文件内容搜索技巧

34.  添加 ls* 系列工具

35. 用户家目录模板检查

36. 添加查看配置文件的小技巧

下载地址 

https://pan.baidu.com/s/1ZikSveBcAjalMdHCpAj8zA?pwd=8cu8 提取码: 8cu8

https://github.com/Just-Hack-For-Fun/Linux-INCIDENT-RESPONSE-COOKBOOK

Hash 
md5: b078f8f7ded6a039632756b3944af06f
sha-256: efbd596e577d77cd99e2e3b98d07b2de1d59375262302a8883b398561f364016