长亭百川云 - 文章详情

Linux 应急响应手册 v1.9 【重要更新】

NOP Team

82

2024-08-08

简介

大家好,《Linux 应急响应手册 v1.9》 发布啦!

下载链接在文末

本次从实用角度来说,是一个大更新,解决了两个大问题,以及 30 多项更新

两个大问题是:

  1. Windows 平台的 Adobe acrobat DC  、Firefox 浏览器、Edge浏览器等打开手册出现无法显示目录、内容为空白等问题

  2. 全平台无法搜索,复制内容后,粘贴会出现乱码的情况

第一个大问题产生的原因是封面添加方式,之前一直是使用 MacOS 自带的预览程序添加的封面,这会导致 MacOS 以外的其他平台部分程序解析出现问题,这也是 Github 上放置项目以后得到的最有价值的反馈,感谢反馈的朋友们,这是直接影响手册效果的大问题,这次我们解决了,解决方法是通过 WPS 添加封面,感谢 WPS

第二个大问题产生的原因是 Typora 的 Mint 主题没有包含中文字体,所以我们通过修改该主题的源代码解决了导出 PDF 无法搜索、复制粘贴乱码的问题

这两个问题对使用之前手册的用户影响太大了,希望大家帮忙多多转发,尽可能将本次更新传递到用户们手里!


Adobe acrobat DC

Edge

Firefox

大家的反馈对这本手册的发展很重要,我们将大家的反馈信息列表放在了下面,我们将下载链接放在文末就是希望大家可以看到提供反馈的用户以及具体反馈的内容,也是我们对于反馈的朋友们的公开回复,感谢大家反馈~


更新日记

v1.9 - 2024.8.1

  • 更改使用了9版的 Linux 应急响应手册封面

  • 修复了 Windows 平台无法查看目录或显示空白的问题

  • 修复了手册无法搜索、复制中文的问题

  • 新增 注意事项 章节

  • 删除事件预警来源章节

  • 完善勒索病毒处置流程

  • 添加隧道处置流程

  • 常规安全检查添加了0x30 内核模块签名配置检查

  • 常规安全检查添加了0x31 签名不合法的内核模块

  • 常规安全检查添加了0x32 PAM 检查

  • 常规安全检查添加了0x33  /proc 与 ps 进程对比

  • 常规安全检查添加了0x34 Trap 检查

  • 常规安全检查添加了0x35 家目录模板检查

  • 暴力破解章节完善了 Rocky/Centos 案例

  • 常见问题的解决方法添加两种 netstat 不显示 pid 的情况概述

  • 常见问题的解决办法添加 0x04 终端出现乱码的解决办法

  • 完善 ps 命令,加入 -w 参数防止显示截断

  • 知识点附录添加 0x06  history 无记录的可能原因

  • 小技巧章节添加 0x13 如何暂停进程/冻结进程

  • 小技巧章节添加 0x14 查找特定时间段内的文件

  • 小技巧章节添加 0x15 内存中搜索字符串

  • 小技巧章节添加了 0x16 配置文件检查小技巧

  • 小技巧章节添加了进程&容器抓包

  • 修复了小技巧 -> 0x08 数据恢复章节关于进程占用文件被删的恢复方法

  • 丰富了威胁情报部分的地址

  • 丰富了沙箱部分的地址

  • 修复了挖矿病毒部分的标题文字错误

  • 修复非持续事件部分的文字错误

  • 非持续事件处置流程添加常规安全检查阶段

  • 暴力破解处置流程添加常规安全检查阶段

  • 恶意软件包供应链攻击处置流程添加常规安全检查阶段

  • 完善全局文件内容搜索技巧

  • 添加了 lslogins 程序

v1.8 - 2023.8.11

v1.7 - 2023.4.27

v1.6 - 2023.1.6

v1.5 - 2022.9.29

v1.4 - 2022.4.29

v1.3 - 2021.11.24

v1.2 - 2021.9.10

v1.1 - 2021.7.1

v1.0 - 2021.5.13

hello world - 2020.5.3

用户反馈列表

在反馈过程中,除了 Github 上提交的反馈,我们都会询问是否公开反馈者信息,没有取得明确回复可以公开的情况下,以 路人甲
代表

微信公众号无法主动留言,导致部分反馈者没能联系上,朋友们如果看到自己的反馈以 路人甲
代表,可以联系我们修改

1. Windows 平台打开手册部分程序无法显示目录

反馈项

反馈信息

反馈编号

LYJXY-0001

反馈者

AvenMay

反馈时间

2024-07-10 16:36

反馈途径

公众号文章留言

反馈内容

Edge 等浏览器显示空白

完成情况

已修复

完成时间

2024-08-01 22:30

备注信息

2. 手册无法搜索、复制中文

反馈项

反馈信息

反馈编号

LYJXY-0002

反馈者

NOP Team

反馈时间

2024-07-11 17:36

反馈途径

作者自查

反馈内容

手册无法搜索、复制中文

完成情况

已修复

完成时间

2024-08-01 22:30

备注信息

3.  常规安全检查添加 pam 后门部分

反馈项

反馈信息

反馈编号

LYJXY-0003

反馈者

NOP Team

反馈时间

2024-07-14 16:51

反馈途径

作者自查

反馈内容

常规安全检查添加 pam 后门部分

完成情况

已完成

完成时间

2024-07-30 21:57

备注信息

4.  暴力破解章节加入 Centos 系案例

反馈项

反馈信息

反馈编号

LYJXY-0004

反馈者

NOP Team

反馈时间

2024-07-14 18:46

反馈途径

作者自查

反馈内容

暴力破解章节加入 Centos 系案例

完成情况

已完善

完成时间

2024-08-01 00:32

备注信息

基本通用,只修改了小部分

5.  新增章节 —— 需要注意的问题

反馈项

反馈信息

反馈编号

LYJXY-0005

反馈者

NOP Team

反馈时间

2024-05-14 15:38

反馈途径

作者自查

反馈内容

添加一个新章节,告诉大家需要注意的问题,例如 rm ./*
是不会删除以 .
开头的文件和文件夹的

完成情况

已完成

完成时间

2024-07-14 23:40

备注信息

6.  netstat 不显示pid情况 +1

反馈项

反馈信息

反馈编号

LYJXY-0006

反馈者

NOP Team

反馈时间

2024-05-14 15:38

反馈途径

作者自查

反馈内容

netstat 不显示pid情况 +1

完成情况

已完成

完成时间

2024-07-30 21:58:03

备注信息

7.  ps 命令加入 -w 参数

反馈项

反馈信息

反馈编号

LYJXY-0007

反馈者

NOP Team

反馈时间

2024-05-14 15:38

反馈途径

作者自查

反馈内容

ps 的 -w 参数可以保证显示内容不被截断

完成情况

已完成

完成时间

2024-07-30 23:23:03

备注信息

目前仅添加了参数,部分图片没有修改,后续升级版本截图时一并修改

8.  常见问题的解决办法章节添加 history 无记录情况

反馈项

反馈信息

反馈编号

LYJXY-0008

反馈者

NOP Team

反馈时间

2024-05-14 15:38

反馈途径

作者自查

反馈内容

常见问题的解决办法章节添加 history 无记录情况

完成情况

已完成

完成时间

2024-07-30 22:58:03

备注信息

最终考虑再三,放在了知识点附录里

9.  比对 ps 命令与 proc 目录中 pid 的不同

反馈项

反馈信息

反馈编号

LYJXY-0009

反馈者

NOP Team

反馈时间

2024-05-14 15:38

反馈途径

作者自查

反馈内容

比对 ps 命令与 proc 目录中 pid 的不同,若存在 ps 中没有,但是 proc 目录中有 pid 的可能为恶意进程

完成情况

已完成

完成时间

2024-07-30 22:38:12

备注信息

10.  添加查找特定时间段创建、修改文件

反馈项

反馈信息

反馈编号

LYJXY-0010

反馈者

NOP Team

反馈时间

2024-04-29 15:29

反馈途径

作者自查

反馈内容

查找文件部分添加查找特定时间段创建、修改文件,这有助于找到特定时段攻击者创建或修改的恶意文件

完成情况

已添加

完成时间

2024-07-19 22:15

备注信息

11.  添加终端乱码重置的办法

反馈项

反馈信息

反馈编号

LYJXY-0011

反馈者

NOP Team

反馈时间

2024-04-29 15:29

反馈途径

作者自查

反馈内容

有时查看二进制文件后,会使终端乱码,添加如何重置的方法

完成情况

已添加

完成时间

2024-07-15 12:09

备注信息

12.  修复文件被删除的恢复方法

反馈项

反馈信息

反馈编号

LYJXY-0012

反馈者

NOP Team

反馈时间

2024-03-21 11:23

反馈途径

作者自查

反馈内容

之前的内容是通过 proc 虚拟结构的 fd 来恢复文件被删除但仍被进程占用的文件,在之前的文章中有朋友指出不需要从 fd 中恢复

完成情况

已修复

完成时间

2024-07-30 23:06:23

备注信息

13.  Linux 实现内存中查找字符串

反馈项

反馈信息

反馈编号

LYJXY-0013

反馈者

NOP Team

反馈时间

2024-03-06 17:05

反馈途径

作者自查

反馈内容

Windows 可以实现内存中查找字符串,Linux 中是否可以呢?

完成情况

已完成

完成时间

2024-07-31 00:08

备注信息

14.  内核模块签名相关配置检查

反馈项

反馈信息

反馈编号

LYJXY-0014

反馈者

NOP Team

反馈时间

2024-02-27 16:15

反馈途径

作者自查

反馈内容

检查内核模块加载是否校验签名

完成情况

已添加

完成时间

2024-07-18 00:42

备注信息

15.  内核模块签名校验

反馈项

反馈信息

反馈编号

LYJXY-0015

反馈者

NOP Team

反馈时间

2024-02-27 16:15

反馈途径

作者自查

反馈内容

校验内核模块是否存在有效签名

完成情况

已添加

完成时间

2024-07-19 22:04

备注信息

按照公开方法,目前无法有效找到验证签名的公钥,采用日志的方式进行辅助判断

16.  trap 检查

反馈项

反馈信息

反馈编号

LYJXY-0016

反馈者

NOP Team

反馈时间

2024-01-12 13:29

反馈途径

作者自查

反馈内容

检查是否存在 trap 后门

完成情况

已添加

完成时间

2024-07-31 22:45:02

备注信息

17.  完善威胁情报部分链接

反馈项

反馈信息

反馈编号

LYJXY-0017

反馈者

NOP Team

反馈时间

2023-12-29 10:57

反馈途径

作者自查

反馈内容

修复部分威胁情报的链接,添加部分威胁情报网站

完成情况

已完善

完成时间

2024-07-15 00:05

备注信息

18.  添加 process monitor 的使用

反馈项

反馈信息

反馈编号

LYJXY-0018

反馈者

NOP Team

反馈时间

2023-12-29 10:57

反馈途径

作者自查

反馈内容

考虑添加 process monitor Linux 版

完成情况

暂不添加

完成时间

备注信息

目前没有看出明显优势,后期可以和其他工具一起加入

19.  挖矿部分标题文字修复

反馈项

反馈信息

反馈编号

LYJXY-0019

反馈者

NOP Team

反馈时间

2023-12-29 10:57

反馈途径

作者自查

反馈内容

0x05 标题少了一个空格

完成情况

已修复

完成时间

2024-07-15 00:05

备注信息

20.  完善沙箱部分

反馈项

反馈信息

反馈编号

LYJXY-0020

反馈者

NOP Team

反馈时间

2023-12-29 10:57

反馈途径

作者自查

反馈内容

完善沙箱部分,添加一些沙箱地址

完成情况

已完善

完成时间

2024-07-15 00:06

备注信息

21.  添加进程暂停技巧

反馈项

反馈信息

反馈编号

LYJXY-0021

反馈者

NOP Team

反馈时间

2023-12-29 10:57

反馈途径

作者自查

反馈内容

添加进程暂停技巧

完成情况

已添加

完成时间

2024-07-18 00:22

备注信息

后期可能会放到各个处置流程中去

22.  修复非持续事件部分文字错误【文字错误】

反馈项

反馈信息

反馈编号

LYJXY-0022

反馈者

NOP Team

反馈时间

2023-12-29 10:57

反馈途径

作者自查

反馈内容

0x02 修改域名解析记录章节中括号内 内存 -> 内网

完成情况

已修复

完成时间

2024-07-15 00:04

备注信息

23.  非持续事件处置流程添加常规安全检查阶段

反馈项

反馈信息

反馈编号

LYJXY-0023

反馈者

NOP Team

反馈时间

2023-12-29 10:57

反馈途径

作者自查

反馈内容

非持续事件处置流程添加常规安全检查阶段

完成情况

已添加

完成时间

2024-07-18 00:13

备注信息

24.  改变更新日记的格式

反馈项

反馈信息

反馈编号

LYJXY-0024

反馈者

NOP Team

反馈时间

2024-07-14 19:42

反馈途径

作者自查

反馈内容

更新日记的格式太占空间了,往期更新日记只记录版本号和日期,本次更新日记详细展示

完成情况

已完善

完成时间

2024-07-14 20:11

备注信息

25.  改变PDF封面照片

反馈项

反馈信息

反馈编号

LYJXY-0025

反馈者

NOP Team

反馈时间

2024-07-14 19:42

反馈途径

作者自查

反馈内容

改变为和 Windows 版本一致

完成情况

已修改

完成时间

2024-08-01 22:30

备注信息

26.  改变简介部分描述

反馈项

反馈信息

反馈编号

LYJXY-0026

反馈者

NOP Team

反馈时间

2024-07-14 19:42

反馈途径

作者自查

反馈内容

改变为和 Windows 版本一致

完成情况

已修改

完成时间

2024-07-14 20:11

备注信息

27.  删除事件预警来源章节

反馈项

反馈信息

反馈编号

LYJXY-0027

反馈者

NOP Team

反馈时间

2024-07-14 20:11

反馈途径

作者自查

反馈内容

删除事件预警来源章节

完成情况

已删除

完成时间

2024-07-14 23:45

备注信息

28.  完善勒索病毒处置流程

反馈项

反馈信息

反馈编号

LYJXY-0028

反馈者

NOP Team

反馈时间

2024-07-14 23:30

反馈途径

作者自查

反馈内容

完善勒索病毒处置流程

完成情况

已完善

完成时间

2024-07-14 23:56

备注信息

29.  添加隧道处置流程

反馈项

反馈信息

反馈编号

LYJXY-0029

反馈者

NOP Team

反馈时间

2024-07-14 23:30

反馈途径

作者自查

反馈内容

添加隧道处置流程

完成情况

已添加

完成时间

2024-07-18 00:12

备注信息

30.  暴力破解处置流程添加常规安全检查阶段

反馈项

反馈信息

反馈编号

LYJXY-0030

反馈者

NOP Team

反馈时间

2024-07-15 00:01

反馈途径

作者自查

反馈内容

暴力破解处置流程添加常规安全检查阶段

完成情况

已添加

完成时间

2024-07-15 00:05

备注信息

31.  恶意软件包供应链攻击处置流程添加常规安全检查阶段

反馈项

反馈信息

反馈编号

LYJXY-0031

反馈者

NOP Team

反馈时间

2024-07-15 00:01

反馈途径

作者自查

反馈内容

恶意软件包供应链攻击处置流程添加常规安全检查阶段

完成情况

已添加

完成时间

2024-07-15 00:06

备注信息

32.  添加工具 ptcpdump

反馈项

反馈信息

反馈编号

LYJXY-0032

反馈者

NOP Team

反馈时间

2024-07-15 15:33

反馈途径

作者自查

反馈内容

添加工具 ptcpdump

完成情况

已完成

完成时间

2024-07-31 23:12:34

备注信息

33.  完善全局文件内容搜索技巧

反馈项

反馈信息

反馈编号

LYJXY-0033

反馈者

NOP Team

反馈时间

2024-07-17 13:26

反馈途径

作者自查

反馈内容

尝试使用 grep -rnl 这样只显示文件名字,不会显示内容

完成情况

已完善

完成时间

2024-07-17 19:02

备注信息

34.  添加 ls* 系列工具

反馈项

反馈信息

反馈编号

LYJXY-0034

反馈者

NOP Team

反馈时间

2024-07-17 13:26

反馈途径

作者自查

反馈内容

添加 lslogins

完成情况

已添加

完成时间

2024-07-31 22:50:35

备注信息

35. 用户家目录模板检查

反馈项

反馈信息

反馈编号

LYJXY-0035

反馈者

NOP Team

反馈时间

2024-07-24 21:26

反馈途径

作者自查

反馈内容

/etc/skel/ 是新建用户的家目录的模板,如果攻击者对其进行修改可能导致新创建的目录自带后门

完成情况

已添加

完成时间

2024-07-31 23:20:27

备注信息

36. 添加查看配置文件的小技巧

反馈项

反馈信息

反馈编号

LYJXY-0036

反馈者

NOP Team

反馈时间

2024-07-26 21:29

反馈途径

作者自查

反馈内容

添加 grep -E -v '^\s*($|#)' config_file
,排除井号开头的行以及空行,最好也包含其他注释

完成情况

已添加

完成时间

2024-07-31 23:08:34

备注信息

下载地址

https://pan.baidu.com/s/1eSqo14jkVnh5yYE1-eOUaQ?pwd=k2cw 

https://github.com/Just-Hack-For-Fun/Linux-INCIDENT-RESPONSE-COOKBOOK

Hash   
md5: e19d1cba1f2e1656bb6e4f9e9b1a5cb9  
sha-256: 08f96fd64a6faa53fdb9badf47f549ee182be2123c91e695348765a091acd686

往期文章

有态度,不苟同

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2