admin/Linux-INCIDENT-RESPONSE-COOKBOOK
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
main
Linux-INCIDENT-RESPONSE-COO…/用户反馈列表.md
NOP Team d30533234e 按照师傅们的要求给手册增加了目录
2025-02-28 16:14:14 +08:00

952 lines
40 KiB
Markdown
Raw Permalink Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
> 在反馈过程中,除了 Github 上提交的反馈,我们都会询问是否公开反馈者信息,没有取得明确回复可以公开的情况下,以 `路人甲` 代表
### 1. Windows 平台打开手册部分程序无法显示目录
| 反馈项 | 反馈信息 |
| :------- | :-------------------- |
| 反馈编号 | LYJXY-0001 |
| 反馈者 | AvenMay |
| 反馈时间 | 2024-07-10 16:36 |
| 反馈途径 | 公众号文章留言 |
| 反馈内容 | Edge 等浏览器显示空白 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-08-01 22:30 |
| 备注信息 | |
### 2. 手册无法搜索、复制中文
| 反馈项 | 反馈信息 |
| :------- | :--------------------- |
| 反馈编号 | LYJXY-0002 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-11 17:36 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 手册无法搜索、复制中文 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-08-01 22:30 |
| 备注信息 | |
### 3. 常规安全检查添加 pam 后门部分
| 反馈项 | 反馈信息 |
| :------- | :---------------------------- |
| 反馈编号 | LYJXY-0003 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-14 16:51 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 常规安全检查添加 pam 后门部分 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-30 21:57 |
| 备注信息 | |
### 4. 暴力破解章节加入 Centos 系案例
| 反馈项 | 反馈信息 |
| :------- | :----------------------------- |
| 反馈编号 | LYJXY-0004 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-14 18:46 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 暴力破解章节加入 Centos 系案例 |
| 完成情况 | 已完善 |
| 完成时间 | 2024-08-01 00:32 |
| 备注信息 | 基本通用,只修改了小部分 |
### 5. 新增章节 —— 需要注意的问题
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | LYJXY-0005 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-05-14 15:38 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 添加一个新章节,告诉大家需要注意的问题,例如 `rm ./*` 是不会删除以 `.` 开头的文件和文件夹的 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-14 23:40 |
| 备注信息 | |
### 6. netstat 不显示pid情况 +1
| 反馈项 | 反馈信息 |
| :------- | :----------------------- |
| 反馈编号 | LYJXY-0006 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-05-14 15:38 |
| 反馈途径 | 作者自查 |
| 反馈内容 | netstat 不显示pid情况 +1 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-30 21:58:03 |
| 备注信息 | |
### 7. ps 命令加入 -w 参数
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | LYJXY-0007 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-05-14 15:38 |
| 反馈途径 | 作者自查 |
| 反馈内容 | ps 的 -w 参数可以保证显示内容不被截断 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-30 23:23:03 |
| 备注信息 | 目前仅添加了参数,部分图片没有修改,后续升级版本截图时一并修改 |
### 8. 常见问题的解决办法章节添加 history 无记录情况
| 反馈项 | 反馈信息 |
| :------- | :-------------------------------------------- |
| 反馈编号 | LYJXY-0008 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-05-14 15:38 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 常见问题的解决办法章节添加 history 无记录情况 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-30 22:58:03 |
| 备注信息 | 最终考虑再三,放在了知识点附录里 |
### 9. 比对 ps 命令与 proc 目录中 pid 的不同
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | LYJXY-0009 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-05-14 15:38 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 比对 ps 命令与 proc 目录中 pid 的不同,若存在 ps 中没有,但是 proc 目录中有 pid 的可能为恶意进程 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-30 22:38:12 |
| 备注信息 | |
### 10. 添加查找特定时间段创建、修改文件
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | LYJXY-0010 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-04-29 15:29 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 查找文件部分添加查找特定时间段创建、修改文件,这有助于找到特定时段攻击者创建或修改的恶意文件 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-19 22:15 |
| 备注信息 | |
### 11. 添加终端乱码重置的办法
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------- |
| 反馈编号 | LYJXY-0011 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-04-29 15:29 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 有时查看二进制文件后,会使终端乱码,添加如何重置的方法 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-15 12:09 |
| 备注信息 | |
### 12. 修复文件被删除的恢复方法
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | LYJXY-0012 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-03-21 11:23 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 之前的内容是通过 proc 虚拟结构的 fd 来恢复文件被删除但仍被进程占用的文件,在之前的文章中有朋友指出不需要从 fd 中恢复 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-07-30 23:06:23 |
| 备注信息 | |
### 13. Linux 实现内存中查找字符串
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------- |
| 反馈编号 | LYJXY-0013 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-03-06 17:05 |
| 反馈途径 | 作者自查 |
| 反馈内容 | Windows 可以实现内存中查找字符串Linux 中是否可以呢? |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-31 00:08 |
| 备注信息 | |
### 14. 内核模块签名相关配置检查
| 反馈项 | 反馈信息 |
| :------- | :--------------------------- |
| 反馈编号 | LYJXY-0014 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-02-27 16:15 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 检查内核模块加载是否校验签名 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-18 00:42 |
| 备注信息 | |
### 15. 内核模块签名校验
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | LYJXY-0015 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-02-27 16:15 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 校验内核模块是否存在有效签名 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-19 22:04 |
| 备注信息 | 按照公开方法,目前无法有效找到验证签名的公钥,采用日志的方式进行辅助判断 |
### 16. trap 检查
| 反馈项 | 反馈信息 |
| :------- | :--------------------- |
| 反馈编号 | LYJXY-0016 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-01-12 13:29 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 检查是否存在 trap 后门 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-31 22:45:02 |
| 备注信息 | |
### 17. 完善威胁情报部分链接
| 反馈项 | 反馈信息 |
| :------- | :------------------------------------------- |
| 反馈编号 | LYJXY-0017 |
| 反馈者 | NOP Team |
| 反馈时间 | 2023-12-29 10:57 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 修复部分威胁情报的链接,添加部分威胁情报网站 |
| 完成情况 | 已完善 |
| 完成时间 | 2024-07-15 00:05 |
| 备注信息 | |
### 18. 添加 process monitor 的使用
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------- |
| 反馈编号 | LYJXY-0018 |
| 反馈者 | NOP Team |
| 反馈时间 | 2023-12-29 10:57 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 考虑添加 process monitor Linux 版 |
| 完成情况 | 暂不添加 |
| 完成时间 | |
| 备注信息 | 目前没有看出明显优势,后期可以和其他工具一起加入 |
### 19. 挖矿部分标题文字修复
| 反馈项 | 反馈信息 |
| :------- | :-------------------- |
| 反馈编号 | LYJXY-0019 |
| 反馈者 | NOP Team |
| 反馈时间 | 2023-12-29 10:57 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 0x05 标题少了一个空格 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-07-15 00:05 |
| 备注信息 | |
### 20. 完善沙箱部分
| 反馈项 | 反馈信息 |
| :------- | :----------------------------- |
| 反馈编号 | LYJXY-0020 |
| 反馈者 | NOP Team |
| 反馈时间 | 2023-12-29 10:57 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 完善沙箱部分,添加一些沙箱地址 |
| 完成情况 | 已完善 |
| 完成时间 | 2024-07-15 00:06 |
| 备注信息 | |
### 21. 添加进程暂停技巧
| 反馈项 | 反馈信息 |
| :------- | :----------------------------- |
| 反馈编号 | LYJXY-0021 |
| 反馈者 | NOP Team |
| 反馈时间 | 2023-12-29 10:57 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 添加进程暂停技巧 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-18 00:22 |
| 备注信息 | 后期可能会放到各个处置流程中去 |
### 22. 修复非持续事件部分文字错误【文字错误】
| 反馈项 | 反馈信息 |
| :------- | :--------------------------------------------- |
| 反馈编号 | LYJXY-0022 |
| 反馈者 | NOP Team |
| 反馈时间 | 2023-12-29 10:57 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 0x02 修改域名解析记录章节中括号内 内存 -> 内网 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-07-15 00:04 |
| 备注信息 | |
### 23. 非持续事件处置流程添加常规安全检查阶段
| 反馈项 | 反馈信息 |
| :------- | :------------------------------------- |
| 反馈编号 | LYJXY-0023 |
| 反馈者 | NOP Team |
| 反馈时间 | 2023-12-29 10:57 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 非持续事件处置流程添加常规安全检查阶段 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-18 00:13 |
| 备注信息 | |
### 24. 改变更新日记的格式
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | LYJXY-0024 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-14 19:42 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 更新日记的格式太占空间了,往期更新日记只记录版本号和日期,本次更新日记详细展示 |
| 完成情况 | 已完善 |
| 完成时间 | 2024-07-14 20:11 |
| 备注信息 | |
### 25. 改变PDF封面照片
| 反馈项 | 反馈信息 |
| :------- | :------------------------ |
| 反馈编号 | LYJXY-0025 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-14 19:42 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 改变为和 Windows 版本一致 |
| 完成情况 | 已修改 |
| 完成时间 | 2024-08-01 22:30 |
| 备注信息 | |
### 26. 改变简介部分描述
| 反馈项 | 反馈信息 |
| :------- | :------------------------ |
| 反馈编号 | LYJXY-0026 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-14 19:42 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 改变为和 Windows 版本一致 |
| 完成情况 | 已修改 |
| 完成时间 | 2024-07-14 20:11 |
| 备注信息 | |
### 27. 删除事件预警来源章节
| 反馈项 | 反馈信息 |
| :------- | :------------------- |
| 反馈编号 | LYJXY-0027 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-14 20:11 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 删除事件预警来源章节 |
| 完成情况 | 已删除 |
| 完成时间 | 2024-07-14 23:45 |
| 备注信息 | |
### 28. 完善勒索病毒处置流程
| 反馈项 | 反馈信息 |
| :------- | :------------------- |
| 反馈编号 | LYJXY-0028 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-14 23:30 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 完善勒索病毒处置流程 |
| 完成情况 | 已完善 |
| 完成时间 | 2024-07-14 23:56 |
| 备注信息 | |
### 29. 添加隧道处置流程
| 反馈项 | 反馈信息 |
| :------- | :--------------- |
| 反馈编号 | LYJXY-0029 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-14 23:30 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 添加隧道处置流程 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-18 00:12 |
| 备注信息 | |
### 30. 暴力破解处置流程添加常规安全检查阶段
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------- |
| 反馈编号 | LYJXY-0030 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-15 00:01 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 暴力破解处置流程添加常规安全检查阶段 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-15 00:05 |
| 备注信息 | |
### 31. 恶意软件包供应链攻击处置流程添加常规安全检查阶段
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------- |
| 反馈编号 | LYJXY-0031 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-15 00:01 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 恶意软件包供应链攻击处置流程添加常规安全检查阶段 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-15 00:06 |
| 备注信息 | |
### 32. 添加工具 ptcpdump
| 反馈项 | 反馈信息 |
| :------- | :------------------ |
| 反馈编号 | LYJXY-0032 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-15 15:33 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 添加工具 ptcpdump |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-31 23:12:34 |
| 备注信息 | |
### 33. 完善全局文件内容搜索技巧
| 反馈项 | 反馈信息 |
| :------- | :-------------------------------------------------- |
| 反馈编号 | LYJXY-0033 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-17 13:26 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 尝试使用 grep -rnl 这样只显示文件名字,不会显示内容 |
| 完成情况 | 已完善 |
| 完成时间 | 2024-07-17 19:02 |
| 备注信息 | |
### 34. 添加 ls* 系列工具
| 反馈项 | 反馈信息 |
| :------- | :------------------ |
| 反馈编号 | LYJXY-0034 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-17 13:26 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 添加 lslogins |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-31 22:50:35 |
| 备注信息 | |
### 35. 用户家目录模板检查
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | LYJXY-0035 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-24 21:26 |
| 反馈途径 | 作者自查 |
| 反馈内容 | /etc/skel/ 是新建用户的家目录的模板,如果攻击者对其进行修改可能导致新创建的目录自带后门 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-31 23:20:27 |
| 备注信息 | |
### 36. 添加查看配置文件的小技巧
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | LYJXY-0036 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-26 21:29 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 添加 `grep -E -v '^\s*($|#)' config_file ` ,排除井号开头的行以及空行,最好也包含其他注释 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-31 23:08:34 |
| 备注信息 | |
### 37. 小技巧章节 find 命令 -mmin 改为 -amin
| 反馈项 | 反馈信息 |
| :------- | :------------------------------------ |
| 反馈编号 | LYJXY-0037 |
| 反馈者 | 0000 |
| 反馈时间 | 2024-08-05 09:50 |
| 反馈途径 | 当面反馈 |
| 反馈内容 | 小技巧章节 find 命令 -mmin 改为 -amin |
| 完成情况 | 已修复 |
| 完成时间 | 2024-08-05 09:53 |
| 备注信息 | |
### 38. 完善处置前准备章节
| 反馈项 | 反馈信息 |
| :------- | :------------------------------------ |
| 反馈编号 | LYJXY-0038 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-08-06 10:54 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 添加顺便带上 《Windows 应急响应手册》 |
| 完成情况 | 已完善 |
| 完成时间 | 2024-08-06 21:53 |
| 备注信息 | |
### 39. 修复挖矿病毒章节 ps 命令错误
| 反馈项 | 反馈信息 |
| :------- | :--------------------------------------- |
| 反馈编号 | LYJXY-0039 |
| 反馈者 | FR33D0M |
| 反馈时间 | 2024-08-06 15:26 |
| 反馈途径 | 微信 |
| 反馈内容 | 挖矿病毒章节 cpu占用部分ps命令多了一个 w |
| 完成情况 | 已修复 |
| 完成时间 | 2024-08-06 21:55 |
| 备注信息 | |
### 40. pstree 命令查看指定pid的线程
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | LYJXY-0040 |
| 反馈者 | FR33D0M |
| 反馈时间 | 2024-08-06 16:11 |
| 反馈途径 | 微信 |
| 反馈内容 | pstree 命令后面可以加 pid ,这样就可以只看这个 pid 的线程信息 |
| 完成情况 | 已完善 |
| 完成时间 | 2024-08-06 22:13 |
| 备注信息 | |
### 41. 安芯网盾沙箱网站已失效
| 反馈项 | 反馈信息 |
| :------- | :------------------- |
| 反馈编号 | LYJXY-0041 |
| 反馈者 | FR33D0M |
| 反馈时间 | 2024-08-06 16:45 |
| 反馈途径 | 微信 |
| 反馈内容 | 安芯网盾沙箱网址失效 |
| 完成情况 | 已删除 |
| 完成时间 | 2024-08-06 22:14 |
| 备注信息 | |
### 42. 暴力破解 -> SSH 暴力破解章节文字错误【文字错误】
| 反馈项 | 反馈信息 |
| :------- | :--------------------------- |
| 反馈编号 | LYJXY-0042 |
| 反馈者 | 0000 |
| 反馈时间 | 2024-08-06 16:56 |
| 反馈途径 | 当面反馈 |
| 反馈内容 | 监听本次IPv6 -> 监听本地IPv6 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-08-06 22:16 |
| 备注信息 | |
### 43. 绿盟威胁分析中心网址失效
| 反馈项 | 反馈信息 |
| :------- | :----------------------- |
| 反馈编号 | LYJXY-0043 |
| 反馈者 | FR33D0M |
| 反馈时间 | 2024-08-06 16:59 |
| 反馈途径 | 微信 |
| 反馈内容 | 绿盟威胁分析中心网址失效 |
| 完成情况 | 已删除 |
| 完成时间 | 2024-08-06 23:01 |
| 备注信息 | |
### 44. 勒索病毒章节-根据勒索病毒类型寻找解决方法中文字错误【文字错误】
| 反馈项 | 反馈信息 |
| :------- | :--------------------------------------- |
| 反馈编号 | LYJXY-0044 |
| 反馈者 | FR33D0M |
| 反馈时间 | 2024-08-07 10:00 |
| 反馈途径 | 微信 |
| 反馈内容 | 瑞星放勒索病毒专题 -> 瑞星防勒索病毒专题 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-08-07 21:50 |
| 备注信息 | |
### 45. Webshellkiller 等工具链接失效
| 反馈项 | 反馈信息 |
| :------- | :------------------------------------ |
| 反馈编号 | LYJXY-0045 |
| 反馈者 | FR33D0M、megaparsec |
| 反馈时间 | 2024-08-08 17:10 |
| 反馈途径 | 微信 |
| 反馈内容 | WEBDIR+ 、Webshellkiller 工具链接失效 |
| 完成情况 | 已删除 |
| 完成时间 | 2024-08-08 21:50 |
| 备注信息 | |
### 46. 准备部分添加国产操作系统虚拟机
| 反馈项 | 反馈信息 |
| :------- | :--------------------------- |
| 反馈编号 | LYJXY-0046 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-08-13 21:10 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 最好准备一些国产系统的虚拟机 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-08-13 21:15 |
| 备注信息 | |
### 47. 添加一个在线病毒分析网站
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | LYJXY-0047 |
| 反馈者 | 路人甲 |
| 反馈时间 | 2024-08-13 22:18 |
| 反馈途径 | 公众号文章留言 |
| 反馈内容 | 添加 cloud.vdnel.cn |
| 完成情况 | 暂不添加 |
| 完成时间 | 2024-08-14 21:03 |
| 备注信息 | 网站无法直接使用,域名证书过期,账号注册受阻,暂不适合应急期间使用 |
### 48. 添加查找某段时间创建的文件
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | LYJXY-0048 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-08-16 21:09 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 在小技巧 -> 查找特定时间段内的⽂件 章节添加查找某段时间内创建的文件 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-08-16 21:40 |
| 备注信息 | 同时添加了访问、修改属性时间查找文件 |
### 49. 全盘搜索文件内容部分 grep 添加 -a 参数
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------------------------- |
| 反馈编号 | LYJXY-0049 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-08-16 21:10 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 全盘搜索文件内容部分 grep 添加 -a 参数 |
| 完成情况 | 暂不添加 |
| 完成时间 | 2024-08-16 21:45 |
| 备注信息 | 默认就会查询二进制内容是否与查询内容匹配, -a 参数的意义只在于打印出二进制的内容,相信我,别这么干 |
### 50. 常规安全检查章节添加 TCP Wrappers 后门排查
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------------- |
| 反馈编号 | LYJXY-0050 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-08-16 21:12 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 常规安全检查章节添加 TCP Wrappers 后门排查 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-08-16 21:46 |
| 备注信息 | |
### 51. 常规安全检查章节添加敏感目录排查
| 反馈项 | 反馈信息 |
| :------- | :--------------------- |
| 反馈编号 | LYJXY-0051 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-08-19 21:06 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 添加 /tmp、/dev/shm 等 |
| 完成情况 | 已添加 |
| 完成时间 | 2025-02-24 16:00 |
| 备注信息 | |
### 52. 添加 udev 相关检查
| 反馈项 | 反馈信息 |
| :------- | :----------------- |
| 反馈编号 | LYJXY-0052 |
| 反馈者 | megaparsec |
| 反馈时间 | 2024-08-27 17:33 |
| 反馈途径 | 微信 |
| 反馈内容 | 添加 udev 相关检查 |
| 完成情况 | 已添加 |
| 完成时间 | 2025-02-26 23:59 |
| 备注信息 | |
### 53. 数据恢复部分文字错误【文字错误】
| 反馈项 | 反馈信息 |
| :------- | :------------------- |
| 反馈编号 | LYJXY-0053 |
| 反馈者 | 大道至简 |
| 反馈时间 | 2024-08-28 13:55 |
| 反馈途径 | 微信 |
| 反馈内容 | 数据恢复部分文字错误 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-08-28 21:35:16 |
| 备注信息 | |
### 54. 杀死进程组命令与sudo 不兼容,导致失效
| 反馈项 | 反馈信息 |
| :------- | :----------------------------- |
| 反馈编号 | LYJXY-0054 |
| 反馈者 | 大道至简 |
| 反馈时间 | 2024-09-04 16:28 |
| 反馈途径 | 微信 |
| 反馈内容 | kill -9 -pgid 加了 sudo 会失效 |
| 完成情况 | 已修复 |
| 完成时间 | 2025-02-24 18:24 |
| 备注信息 | |
### 55. 增加shellpub webshell查杀工具
| 反馈项 | 反馈信息 |
| :------- | :------------------------- |
| 反馈编号 | LYJXY-0055 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-12-24 18:40 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 建议添加 shellhub 查杀工具 |
| 完成情况 | 已忽略 |
| 完成时间 | 2025-02-24 18:27 |
| 备注信息 | 之前已存在 |
### 56. 每种应急场景添加流程图
| 反馈项 | 反馈信息 |
| :------- | :--------------------- |
| 反馈编号 | LYJXY-0056 |
| 反馈者 | NOP Team |
| 反馈时间 | 2025-02-27 00:01 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 每种应急场景添加流程图 |
| 完成情况 | 已添加 |
| 完成时间 | 2025-02-27 00:26 |
| 备注信息 | |
### 57. 完善计划任务排查中 at 和 batch 的排查
| 反馈项 | 反馈信息 |
| :------- | :------------------------------------ |
| 反馈编号 | LYJXY-0057 |
| 反馈者 | NOP Team |
| 反馈时间 | 2025-02-26 10:20 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 完善计划任务排查中 at 和 batch 的排查 |
| 完成情况 | 已完善 |
| 完成时间 | 2025-02-27 00:46 |
| 备注信息 | |
### 58. 添加挂载点隐藏进程排查
| 反馈项 | 反馈信息 |
| :------- | :------------------------------------------ |
| 反馈编号 | LYJXY-0058 |
| 反馈者 | megaparsec |
| 反馈时间 | 2024-12-30 10:01 |
| 反馈途径 | 微信 |
| 反馈内容 | 添加挂载点隐藏进程排查 |
| 完成情况 | 已忽略 |
| 完成时间 | 2025-02-27 00:59 |
| 备注信息 | 之前就有,在常见问题的解决办法 -> 0x02 章节 |
### 59. 添加Python .pth 文件后门排查
| 反馈项 | 反馈信息 |
| :------- | :--------------------------- |
| 反馈编号 | LYJXY-0059 |
| 反馈者 | megaparsec |
| 反馈时间 | 2025-01-15 10:39 |
| 反馈途径 | 微信 |
| 反馈内容 | 添加Python .pth 文件后门排查 |
| 完成情况 | 已添加 |
| 完成时间 | 2025-02-27 01:35 |
| 备注信息 | |
### 60. 完善 profile 配置检查
| 反馈项 | 反馈信息 |
| :------- | :-------------------- |
| 反馈编号 | LYJXY-0060 |
| 反馈者 | NOP Team |
| 反馈时间 | 2025-02-19 18:30 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 完善 profile 配置检查 |
| 完成情况 | 已完善 |
| 完成时间 | 2025-02-27 13:53 |
| 备注信息 | |
### 61. 完善处置流程,添加确认攻击信息准确性
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------- |
| 反馈编号 | LYJXY-0061 |
| 反馈者 | NOP Team |
| 反馈时间 | 2025-02-19 18:30 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 完善处置流程,添加确认攻击信息准确性 |
| 完成情况 | 已完善 |
| 完成时间 | 2025-02-27 15:06 |
| 备注信息 | |
### 62. 完善处置流程,添加询问过往被攻击情况
| 反馈项 | 反馈信息 |
| :------- | :----------------------------------- |
| 反馈编号 | LYJXY-0062 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-12-25 17:05 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 完善处置流程,添加询问过往被攻击情况 |
| 完成情况 | 已完善 |
| 完成时间 | 2025-02-27 15:07 |
| 备注信息 | |
### 63. 给手册添加目录
| 反馈项 | 反馈信息 |
| :------- | :------------------------ |
| 反馈编号 | LYJXY-0063 |
| 反馈者 | retanoj、Dream等 |
| 反馈时间 | 2025-02-27 20:25 |
| 反馈途径 | Github Issue 及公众号留言 |
| 反馈内容 | 给手册加个目录 |
| 完成情况 | 已完善 |
| 完成时间 | 2025-02-28 15:38 |
| 备注信息 | |
Reference in New Issue View Git Blame Copy Permalink