Linux 应急响应手册 v1.5

简介

本次更新主要有三项，其中较大的改动是增加了非持续性事件处置流程及方法

持续性的挖矿、远控后门等事件可以通过直接排查发现，但是在实际工作中，很多恶意行为（访问恶意域名、连接恶意IP）只集中出现了几次，无法直接通过网络连接找到恶意进程及文件或者有些恶意程序处置结束后，无法确定是否已经清理完整，所以需要有一个专门的章节来处理这类事件，我们将它命名为非持续性事件

针对非持续性事件的监控，通常客户是比较抵触安装一些较为复杂的程序的，对于可审计的脚本的态度较为温和，所以我们写了 Linux 和 Windows 两个版本的监控脚本，如果你遇到 Windows 有监控需求的，可以直接使用

脚本下载链接 https://pan.baidu.com/s/1yvvehE3MWhPGVsc8hIhiQw 提取码: ks35

更新日记： v1.5 2022.9.29

• 完善远控后门章节，增加与C&C隐藏的对抗章节
• 增加非持续性事件处置流程及方法
• 小技巧模块增加批量查找文件并打印信息（防守常用）

v1.4 2022.4.30

• 小技巧新增数据恢复章节
• 完善挖矿和远控后门，新增确定程序运行时间章节
• 善后阶段-日志分析新增 ssh-key 追踪
• 修复了 1.3 版本善后阶段序号错误问题
• 更新 pstree 参数：acU -> agplU; agpU -> agplU
• 精简了善后阶段bash函数章节

v1.3 2021.11.23

• 善后阶段增加 capabilities 权限配置检查（提权）
• 善后阶段增加 iptables 配置检查 （端口复用）
• 善后阶段增加密码填充检查
• 善后阶段将服务检查单列了一个小节
• 善后阶段增加了 ASLR 配置检查
• 知识点附录增加线程文件夹位置相关内容
• 知识点附录删除了 Bash 函数默认情况

v1.2 2021.9.10

• 善后阶段增加了 BASH 内置命令检查
• 善后阶段增加了 BASH 函数的检查
• 善后阶段完善了环境变量查看方法 declare
• 小技巧新增文本内容对比方法

2021.8.19

• 补充了动态库劫持相关内容

v1.1 2021.7.1

• 解决了上一版本中图片缺失问题
• 增加 ssh config 后门检查
• 增加 ptrace_scope 配置检查
• 更新了部分文字表达

v1.0 2020.5.3 hello world

Linux 应急手册 v1.5 下载地址 https://pan.baidu.com/s/16MiQvlvCUJ4dUspPYTOu-A 提取码: aud1