admin/Linux-INCIDENT-RESPONSE-COOKBOOK
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Compare commits

base: admin:v1.9
Branches Tags
admin:main
admin:v2.0.1 admin:v2.0.2 admin:v2.0 admin:v1.9 admin:v1.1 admin:v1.2 admin:v1.0 admin:v1.4 admin:v1.8 admin:v1.7 admin:v1.6 admin:v1.5 admin:v1.3
...
compare: admin:main
Branches Tags
admin:main
admin:v2.0.1 admin:v2.0.2 admin:v2.0 admin:v1.9 admin:v1.1 admin:v1.2 admin:v1.0 admin:v1.4 admin:v1.8 admin:v1.7 admin:v1.6 admin:v1.5 admin:v1.3

5 Commits
v1.9 ... main

Author SHA1 Message Date
NOP Team
480a9c8836 Update README.md 2025-07-21 16:47:31 +08:00
NOP Team
49102fdb4c Update README.md 2025-07-21 16:45:06 +08:00
NOP Team
c0c61fb1ab Update README.md 2025-07-21 16:41:59 +08:00
NOP Team
d30533234e 按照师傅们的要求给手册增加了目录 2025-02-28 16:14:14 +08:00
NOP Team
82650ff00c 用户反馈列表v2.0 2025-02-27 17:00:44 +08:00
2 changed files with 417 additions and 4 deletions
Expand all files Collapse all files

14
README.md
View File

@@ -4,9 +4,19 @@
在当前的攻防对抗态势中,防守一侧的情况就和木桶效应一样,尤其是在已经被攻破的系统中,排查持久化控制程序如同大海捞针,这本应急响应手册的意义是希望能够有效发现木桶的短板,给予应急响应人员一个较为明确的指导思想,同时给出经过实践测试的操作方法,保证受害系统经过了一次相对全面的排查,以避免由于应急响应人员知识广度和能力水平问题而造成的二次木桶效应
在 Github 上建立项目是希望集各位安全从业者以及爱好者之长,不断挖掘攻击者持久控制手段,完善排查方法以及手册,让每一位应急响应人员在排查过程中有一份完整清晰的指导手册,进而与不断进步的攻击者进行持久对抗!<br><br>
2025-07-21 应急响应手册推出在线版,复制文字和代码更加方便了,网址如下
> https://book.noptrace.com/
> <br />
> https://books.noptrace.com/
<br />
除 Github 之外,也可以通过微信联系我们: `just_hack_for_fun` 也欢迎大家关注我们的公众号
<br>
<br>
<br />
<br />
<div align="center">
<img src="https://github.com/Just-Hack-For-Fun/Linux-INCIDENT-RESPONSE-COOKBOOK/assets/120591101/9521b46f-dcdc-4c03-b60e-ad53a1c7814b" alt="公众号" width="500">
</div>

407
用户反馈列表.md
View File

@@ -1,6 +1,4 @@
> 在反馈过程中,除了 Github 上提交的反馈,我们都会询问是否公开反馈者信息,没有取得明确回复可以公开的情况下,以 `路人甲` 代表
>
> 微信公众号无法主动留言,导致部分反馈者没能联系上,朋友们如果看到自己的反馈以 `路人甲` 代表,可以联系我们修改
@@ -544,5 +542,410 @@
### 37. 小技巧章节 find 命令 -mmin 改为 -amin
| 反馈项 | 反馈信息 |
| :------- | :------------------------------------ |
| 反馈编号 | LYJXY-0037 |
| 反馈者 | 0000 |
| 反馈时间 | 2024-08-05 09:50 |
| 反馈途径 | 当面反馈 |
| 反馈内容 | 小技巧章节 find 命令 -mmin 改为 -amin |
| 完成情况 | 已修复 |
| 完成时间 | 2024-08-05 09:53 |
| 备注信息 | |
### 38. 完善处置前准备章节
| 反馈项 | 反馈信息 |
| :------- | :------------------------------------ |
| 反馈编号 | LYJXY-0038 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-08-06 10:54 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 添加顺便带上 《Windows 应急响应手册》 |
| 完成情况 | 已完善 |
| 完成时间 | 2024-08-06 21:53 |
| 备注信息 | |
### 39. 修复挖矿病毒章节 ps 命令错误
| 反馈项 | 反馈信息 |
| :------- | :--------------------------------------- |
| 反馈编号 | LYJXY-0039 |
| 反馈者 | FR33D0M |
| 反馈时间 | 2024-08-06 15:26 |
| 反馈途径 | 微信 |
| 反馈内容 | 挖矿病毒章节 cpu占用部分ps命令多了一个 w |
| 完成情况 | 已修复 |
| 完成时间 | 2024-08-06 21:55 |
| 备注信息 | |
### 40. pstree 命令查看指定pid的线程
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | LYJXY-0040 |
| 反馈者 | FR33D0M |
| 反馈时间 | 2024-08-06 16:11 |
| 反馈途径 | 微信 |
| 反馈内容 | pstree 命令后面可以加 pid ,这样就可以只看这个 pid 的线程信息 |
| 完成情况 | 已完善 |
| 完成时间 | 2024-08-06 22:13 |
| 备注信息 | |
### 41. 安芯网盾沙箱网站已失效
| 反馈项 | 反馈信息 |
| :------- | :------------------- |
| 反馈编号 | LYJXY-0041 |
| 反馈者 | FR33D0M |
| 反馈时间 | 2024-08-06 16:45 |
| 反馈途径 | 微信 |
| 反馈内容 | 安芯网盾沙箱网址失效 |
| 完成情况 | 已删除 |
| 完成时间 | 2024-08-06 22:14 |
| 备注信息 | |
### 42. 暴力破解 -> SSH 暴力破解章节文字错误【文字错误】
| 反馈项 | 反馈信息 |
| :------- | :--------------------------- |
| 反馈编号 | LYJXY-0042 |
| 反馈者 | 0000 |
| 反馈时间 | 2024-08-06 16:56 |
| 反馈途径 | 当面反馈 |
| 反馈内容 | 监听本次IPv6 -> 监听本地IPv6 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-08-06 22:16 |
| 备注信息 | |
### 43. 绿盟威胁分析中心网址失效
| 反馈项 | 反馈信息 |
| :------- | :----------------------- |
| 反馈编号 | LYJXY-0043 |
| 反馈者 | FR33D0M |
| 反馈时间 | 2024-08-06 16:59 |
| 反馈途径 | 微信 |
| 反馈内容 | 绿盟威胁分析中心网址失效 |
| 完成情况 | 已删除 |
| 完成时间 | 2024-08-06 23:01 |
| 备注信息 | |
### 44. 勒索病毒章节-根据勒索病毒类型寻找解决方法中文字错误【文字错误】
| 反馈项 | 反馈信息 |
| :------- | :--------------------------------------- |
| 反馈编号 | LYJXY-0044 |
| 反馈者 | FR33D0M |
| 反馈时间 | 2024-08-07 10:00 |
| 反馈途径 | 微信 |
| 反馈内容 | 瑞星放勒索病毒专题 -> 瑞星防勒索病毒专题 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-08-07 21:50 |
| 备注信息 | |
### 45. Webshellkiller 等工具链接失效
| 反馈项 | 反馈信息 |
| :------- | :------------------------------------ |
| 反馈编号 | LYJXY-0045 |
| 反馈者 | FR33D0M、megaparsec |
| 反馈时间 | 2024-08-08 17:10 |
| 反馈途径 | 微信 |
| 反馈内容 | WEBDIR+ 、Webshellkiller 工具链接失效 |
| 完成情况 | 已删除 |
| 完成时间 | 2024-08-08 21:50 |
| 备注信息 | |
### 46. 准备部分添加国产操作系统虚拟机
| 反馈项 | 反馈信息 |
| :------- | :--------------------------- |
| 反馈编号 | LYJXY-0046 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-08-13 21:10 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 最好准备一些国产系统的虚拟机 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-08-13 21:15 |
| 备注信息 | |
### 47. 添加一个在线病毒分析网站
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | LYJXY-0047 |
| 反馈者 | 路人甲 |
| 反馈时间 | 2024-08-13 22:18 |
| 反馈途径 | 公众号文章留言 |
| 反馈内容 | 添加 cloud.vdnel.cn |
| 完成情况 | 暂不添加 |
| 完成时间 | 2024-08-14 21:03 |
| 备注信息 | 网站无法直接使用,域名证书过期,账号注册受阻,暂不适合应急期间使用 |
### 48. 添加查找某段时间创建的文件
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | LYJXY-0048 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-08-16 21:09 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 在小技巧 -> 查找特定时间段内的⽂件 章节添加查找某段时间内创建的文件 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-08-16 21:40 |
| 备注信息 | 同时添加了访问、修改属性时间查找文件 |
### 49. 全盘搜索文件内容部分 grep 添加 -a 参数
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | LYJXY-0049 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-08-16 21:10 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 全盘搜索文件内容部分 grep 添加 -a 参数 |
| 完成情况 | 暂不添加 |
| 完成时间 | 2024-08-16 21:45 |
| 备注信息 | 默认就会查询二进制内容是否与查询内容匹配, -a 参数的意义只在于打印出二进制的内容,相信我,别这么干 |
### 50. 常规安全检查章节添加 TCP Wrappers 后门排查
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------- |
| 反馈编号 | LYJXY-0050 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-08-16 21:12 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 常规安全检查章节添加 TCP Wrappers 后门排查 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-08-16 21:46 |
| 备注信息 | |
### 51. 常规安全检查章节添加敏感目录排查
| 反馈项 | 反馈信息 |
| :------- | :--------------------- |
| 反馈编号 | LYJXY-0051 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-08-19 21:06 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 添加 /tmp、/dev/shm 等 |
| 完成情况 | 已添加 |
| 完成时间 | 2025-02-24 16:00 |
| 备注信息 | |
### 52. 添加 udev 相关检查
| 反馈项 | 反馈信息 |
| :------- | :----------------- |
| 反馈编号 | LYJXY-0052 |
| 反馈者 | megaparsec |
| 反馈时间 | 2024-08-27 17:33 |
| 反馈途径 | 微信 |
| 反馈内容 | 添加 udev 相关检查 |
| 完成情况 | 已添加 |
| 完成时间 | 2025-02-26 23:59 |
| 备注信息 | |
### 53. 数据恢复部分文字错误【文字错误】
| 反馈项 | 反馈信息 |
| :------- | :------------------- |
| 反馈编号 | LYJXY-0053 |
| 反馈者 | 大道至简 |
| 反馈时间 | 2024-08-28 13:55 |
| 反馈途径 | 微信 |
| 反馈内容 | 数据恢复部分文字错误 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-08-28 21:35:16 |
| 备注信息 | |
### 54. 杀死进程组命令与sudo 不兼容,导致失效
| 反馈项 | 反馈信息 |
| :------- | :----------------------------- |
| 反馈编号 | LYJXY-0054 |
| 反馈者 | 大道至简 |
| 反馈时间 | 2024-09-04 16:28 |
| 反馈途径 | 微信 |
| 反馈内容 | kill -9 -pgid 加了 sudo 会失效 |
| 完成情况 | 已修复 |
| 完成时间 | 2025-02-24 18:24 |
| 备注信息 | |
### 55. 增加shellpub webshell查杀工具
| 反馈项 | 反馈信息 |
| :------- | :------------------------- |
| 反馈编号 | LYJXY-0055 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-12-24 18:40 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 建议添加 shellhub 查杀工具 |
| 完成情况 | 已忽略 |
| 完成时间 | 2025-02-24 18:27 |
| 备注信息 | 之前已存在 |
### 56. 每种应急场景添加流程图
| 反馈项 | 反馈信息 |
| :------- | :--------------------- |
| 反馈编号 | LYJXY-0056 |
| 反馈者 | NOP Team |
| 反馈时间 | 2025-02-27 00:01 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 每种应急场景添加流程图 |
| 完成情况 | 已添加 |
| 完成时间 | 2025-02-27 00:26 |
| 备注信息 | |
### 57. 完善计划任务排查中 at 和 batch 的排查
| 反馈项 | 反馈信息 |
| :------- | :------------------------------------ |
| 反馈编号 | LYJXY-0057 |
| 反馈者 | NOP Team |
| 反馈时间 | 2025-02-26 10:20 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 完善计划任务排查中 at 和 batch 的排查 |
| 完成情况 | 已完善 |
| 完成时间 | 2025-02-27 00:46 |
| 备注信息 | |
### 58. 添加挂载点隐藏进程排查
| 反馈项 | 反馈信息 |
| :------- | :------------------------------------------ |
| 反馈编号 | LYJXY-0058 |
| 反馈者 | megaparsec |
| 反馈时间 | 2024-12-30 10:01 |
| 反馈途径 | 微信 |
| 反馈内容 | 添加挂载点隐藏进程排查 |
| 完成情况 | 已忽略 |
| 完成时间 | 2025-02-27 00:59 |
| 备注信息 | 之前就有,在常见问题的解决办法 -> 0x02 章节 |
### 59. 添加Python .pth 文件后门排查
| 反馈项 | 反馈信息 |
| :------- | :--------------------------- |
| 反馈编号 | LYJXY-0059 |
| 反馈者 | megaparsec |
| 反馈时间 | 2025-01-15 10:39 |
| 反馈途径 | 微信 |
| 反馈内容 | 添加Python .pth 文件后门排查 |
| 完成情况 | 已添加 |
| 完成时间 | 2025-02-27 01:35 |
| 备注信息 | |
### 60. 完善 profile 配置检查
| 反馈项 | 反馈信息 |
| :------- | :-------------------- |
| 反馈编号 | LYJXY-0060 |
| 反馈者 | NOP Team |
| 反馈时间 | 2025-02-19 18:30 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 完善 profile 配置检查 |
| 完成情况 | 已完善 |
| 完成时间 | 2025-02-27 13:53 |
| 备注信息 | |
### 61. 完善处置流程,添加确认攻击信息准确性
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------- |
| 反馈编号 | LYJXY-0061 |
| 反馈者 | NOP Team |
| 反馈时间 | 2025-02-19 18:30 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 完善处置流程,添加确认攻击信息准确性 |
| 完成情况 | 已完善 |
| 完成时间 | 2025-02-27 15:06 |
| 备注信息 | |
### 62. 完善处置流程,添加询问过往被攻击情况
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------- |
| 反馈编号 | LYJXY-0062 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-12-25 17:05 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 完善处置流程,添加询问过往被攻击情况 |
| 完成情况 | 已完善 |
| 完成时间 | 2025-02-27 15:07 |
| 备注信息 | |
### 63. 给手册添加目录
| 反馈项 | 反馈信息 |
| :------- | :------------------------ |
| 反馈编号 | LYJXY-0063 |
| 反馈者 | retanoj、Dream等 |
| 反馈时间 | 2025-02-27 20:25 |
| 反馈途径 | Github Issue 及公众号留言 |
| 反馈内容 | 给手册加个目录 |
| 完成情况 | 已完善 |
| 完成时间 | 2025-02-28 15:38 |
| 备注信息 | |