简介
大家好,《Linux 应急响应手册 v1.9》 发布啦!
下载链接在文末
本次从实用角度来说,是一个大更新,解决了两个大问题,以及 30 多项更新
两个大问题是:
- Windows 平台的 Adobe acrobat DC 、Firefox 浏览器、Edge浏览器等打开手册出现无法显示目录、内容为空白等问题
第一个大问题产生的原因是封面添加方式,之前一直是使用 MacOS 自带的预览程序添加的封面,这会导致 MacOS 以外的其他平台部分程序解析出现问题,这也是 Github 上放置项目以后得到的最有价值的反馈,感谢反馈的朋友们,这是直接影响手册效果的大问题,这次我们解决了,解决方法是通过 WPS 添加封面,感谢 WPS
第二个大问题产生的原因是 Typora 的 Mint 主题没有包含中文字体,所以我们通过修改该主题的源代码解决了导出 PDF 无法搜索、复制粘贴乱码的问题
这两个问题对使用之前手册的用户影响太大了,希望大家帮忙多多转发,尽可能将本次更新传递到用户们手里!
Adobe acrobat DC
![]()
![]()
Edge
![]()
![]()
Firefox
![]()
![]()
大家的反馈对这本手册的发展很重要,我们将大家的反馈信息列表放在了下面,我们将下载链接放在文末就是希望大家可以看到提供反馈的用户以及具体反馈的内容,也是我们对于反馈的朋友们的公开回复,感谢大家反馈~
更新日记
v1.9 - 2024.8.1
- 修复了 Windows 平台无法查看目录或显示空白的问题
- 常规安全检查添加了0x33 /proc 与 ps 进程对比
- 暴力破解章节完善了 Rocky/Centos 案例
- 常见问题的解决方法添加两种 netstat 不显示 pid 的情况概述
- 常见问题的解决办法添加 0x04 终端出现乱码的解决办法
- 知识点附录添加 0x06 history 无记录的可能原因
- 修复了小技巧 -> 0x08 数据恢复章节关于进程占用文件被删的恢复方法
v1.8 - 2023.8.11
v1.7 - 2023.4.27
v1.6 - 2023.1.6
v1.5 - 2022.9.29
v1.4 - 2022.4.29
v1.3 - 2021.11.24
v1.2 - 2021.9.10
v1.1 - 2021.7.1
v1.0 - 2021.5.13
hello world - 2020.5.3
用户反馈列表
在反馈过程中,除了 Github 上提交的反馈,我们都会询问是否公开反馈者信息,没有取得明确回复可以公开的情况下,以 路人甲 代表
微信公众号无法主动留言,导致部分反馈者没能联系上,朋友们如果看到自己的反馈以 路人甲 代表,可以联系我们修改
1. Windows 平台打开手册部分程序无法显示目录
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0001 |
| 反馈者 | AvenMay |
| 反馈时间 | 2024-07-10 16:36 |
| 反馈途径 | 公众号文章留言 |
| 反馈内容 | Edge 等浏览器显示空白 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-08-01 22:30 |
| 备注信息 |
|
2. 手册无法搜索、复制中文
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0002 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-11 17:36 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 手册无法搜索、复制中文 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-08-01 22:30 |
| 备注信息 |
|
3. 常规安全检查添加 pam 后门部分
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0003 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-14 16:51 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 常规安全检查添加 pam 后门部分 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-30 21:57 |
| 备注信息 |
|
4. 暴力破解章节加入 Centos 系案例
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0004 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-14 18:46 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 暴力破解章节加入 Centos 系案例 |
| 完成情况 | 已完善 |
| 完成时间 | 2024-08-01 00:32 |
| 备注信息 | 基本通用,只修改了小部分 |
5. 新增章节 —— 需要注意的问题
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0005 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-05-14 15:38 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 添加一个新章节,告诉大家需要注意的问题,例如 rm ./* 是不会删除以 . 开头的文件和文件夹的 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-14 23:40 |
| 备注信息 |
|
6. netstat 不显示pid情况 +1
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0006 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-05-14 15:38 |
| 反馈途径 | 作者自查 |
| 反馈内容 | netstat 不显示pid情况 +1 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-30 21:58:03 |
| 备注信息 |
|
7. ps 命令加入 -w 参数
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0007 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-05-14 15:38 |
| 反馈途径 | 作者自查 |
| 反馈内容 | ps 的 -w 参数可以保证显示内容不被截断 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-30 23:23:03 |
| 备注信息 | 目前仅添加了参数,部分图片没有修改,后续升级版本截图时一并修改 |
8. 常见问题的解决办法章节添加 history 无记录情况
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0008 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-05-14 15:38 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 常见问题的解决办法章节添加 history 无记录情况 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-30 22:58:03 |
| 备注信息 | 最终考虑再三,放在了知识点附录里 |
9. 比对 ps 命令与 proc 目录中 pid 的不同
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0009 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-05-14 15:38 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 比对 ps 命令与 proc 目录中 pid 的不同,若存在 ps 中没有,但是 proc 目录中有 pid 的可能为恶意进程 |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-30 22:38:12 |
| 备注信息 |
|
10. 添加查找特定时间段创建、修改文件
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0010 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-04-29 15:29 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 查找文件部分添加查找特定时间段创建、修改文件,这有助于找到特定时段攻击者创建或修改的恶意文件 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-19 22:15 |
| 备注信息 |
|
11. 添加终端乱码重置的办法
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0011 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-04-29 15:29 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 有时查看二进制文件后,会使终端乱码,添加如何重置的方法 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-15 12:09 |
| 备注信息 |
|
12. 修复文件被删除的恢复方法
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0012 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-03-21 11:23 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 之前的内容是通过 proc 虚拟结构的 fd 来恢复文件被删除但仍被进程占用的文件,在之前的文章中有朋友指出不需要从 fd 中恢复 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-07-30 23:06:23 |
| 备注信息 |
|
13. Linux 实现内存中查找字符串
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0013 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-03-06 17:05 |
| 反馈途径 | 作者自查 |
| 反馈内容 | Windows 可以实现内存中查找字符串,Linux 中是否可以呢? |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-31 00:08 |
| 备注信息 |
|
14. 内核模块签名相关配置检查
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0014 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-02-27 16:15 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 检查内核模块加载是否校验签名 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-18 00:42 |
| 备注信息 |
|
15. 内核模块签名校验
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0015 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-02-27 16:15 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 校验内核模块是否存在有效签名 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-19 22:04 |
| 备注信息 | 按照公开方法,目前无法有效找到验证签名的公钥,采用日志的方式进行辅助判断 |
16. trap 检查
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0016 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-01-12 13:29 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 检查是否存在 trap 后门 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-31 22:45:02 |
| 备注信息 |
|
17. 完善威胁情报部分链接
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0017 |
| 反馈者 | NOP Team |
| 反馈时间 | 2023-12-29 10:57 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 修复部分威胁情报的链接,添加部分威胁情报网站 |
| 完成情况 | 已完善 |
| 完成时间 | 2024-07-15 00:05 |
| 备注信息 |
|
18. 添加 process monitor 的使用
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0018 |
| 反馈者 | NOP Team |
| 反馈时间 | 2023-12-29 10:57 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 考虑添加 process monitor Linux 版 |
| 完成情况 | 暂不添加 |
| 完成时间 |
|
| 备注信息 | 目前没有看出明显优势,后期可以和其他工具一起加入 |
19. 挖矿部分标题文字修复
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0019 |
| 反馈者 | NOP Team |
| 反馈时间 | 2023-12-29 10:57 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 0x05 标题少了一个空格 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-07-15 00:05 |
| 备注信息 |
|
20. 完善沙箱部分
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0020 |
| 反馈者 | NOP Team |
| 反馈时间 | 2023-12-29 10:57 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 完善沙箱部分,添加一些沙箱地址 |
| 完成情况 | 已完善 |
| 完成时间 | 2024-07-15 00:06 |
| 备注信息 |
|
21. 添加进程暂停技巧
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0021 |
| 反馈者 | NOP Team |
| 反馈时间 | 2023-12-29 10:57 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 添加进程暂停技巧 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-18 00:22 |
| 备注信息 | 后期可能会放到各个处置流程中去 |
22. 修复非持续事件部分文字错误【文字错误】
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0022 |
| 反馈者 | NOP Team |
| 反馈时间 | 2023-12-29 10:57 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 0x02 修改域名解析记录章节中括号内 内存 -> 内网 |
| 完成情况 | 已修复 |
| 完成时间 | 2024-07-15 00:04 |
| 备注信息 |
|
23. 非持续事件处置流程添加常规安全检查阶段
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0023 |
| 反馈者 | NOP Team |
| 反馈时间 | 2023-12-29 10:57 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 非持续事件处置流程添加常规安全检查阶段 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-18 00:13 |
| 备注信息 |
|
24. 改变更新日记的格式
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0024 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-14 19:42 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 更新日记的格式太占空间了,往期更新日记只记录版本号和日期,本次更新日记详细展示 |
| 完成情况 | 已完善 |
| 完成时间 | 2024-07-14 20:11 |
| 备注信息 |
|
25. 改变PDF封面照片
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0025 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-14 19:42 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 改变为和 Windows 版本一致 |
| 完成情况 | 已修改 |
| 完成时间 | 2024-08-01 22:30 |
| 备注信息 |
|
26. 改变简介部分描述
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0026 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-14 19:42 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 改变为和 Windows 版本一致 |
| 完成情况 | 已修改 |
| 完成时间 | 2024-07-14 20:11 |
| 备注信息 |
|
27. 删除事件预警来源章节
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0027 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-14 20:11 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 删除事件预警来源章节 |
| 完成情况 | 已删除 |
| 完成时间 | 2024-07-14 23:45 |
| 备注信息 |
|
28. 完善勒索病毒处置流程
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0028 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-14 23:30 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 完善勒索病毒处置流程 |
| 完成情况 | 已完善 |
| 完成时间 | 2024-07-14 23:56 |
| 备注信息 |
|
29. 添加隧道处置流程
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0029 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-14 23:30 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 添加隧道处置流程 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-18 00:12 |
| 备注信息 |
|
30. 暴力破解处置流程添加常规安全检查阶段
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0030 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-15 00:01 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 暴力破解处置流程添加常规安全检查阶段 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-15 00:05 |
| 备注信息 |
|
31. 恶意软件包供应链攻击处置流程添加常规安全检查阶段
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0031 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-15 00:01 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 恶意软件包供应链攻击处置流程添加常规安全检查阶段 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-15 00:06 |
| 备注信息 |
|
32. 添加工具 ptcpdump
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0032 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-15 15:33 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 添加工具 ptcpdump |
| 完成情况 | 已完成 |
| 完成时间 | 2024-07-31 23:12:34 |
| 备注信息 |
|
33. 完善全局文件内容搜索技巧
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0033 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-17 13:26 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 尝试使用 grep -rnl 这样只显示文件名字,不会显示内容 |
| 完成情况 | 已完善 |
| 完成时间 | 2024-07-17 19:02 |
| 备注信息 |
|
34. 添加 ls* 系列工具
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0034 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-17 13:26 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 添加 lslogins |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-31 22:50:35 |
| 备注信息 |
|
35. 用户家目录模板检查
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0035 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-24 21:26 |
| 反馈途径 | 作者自查 |
| 反馈内容 | /etc/skel/ 是新建用户的家目录的模板,如果攻击者对其进行修改可能导致新创建的目录自带后门 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-31 23:20:27 |
| 备注信息 |
|
36. 添加查看配置文件的小技巧
| 反馈项 | 反馈信息 |
|---|
| 反馈编号 | LYJXY-0036 |
| 反馈者 | NOP Team |
| 反馈时间 | 2024-07-26 21:29 |
| 反馈途径 | 作者自查 |
| 反馈内容 | 添加 grep -E -v '^\s*($|#)' config_file ,排除井号开头的行以及空行,最好也包含其他注释 |
| 完成情况 | 已添加 |
| 完成时间 | 2024-07-31 23:08:34 |
| 备注信息 |
|
下载地址
https://pan.baidu.com/s/1eSqo14jkVnh5yYE1-eOUaQ?pwd=k2cw
https://github.com/Just-Hack-For-Fun/Linux-INCIDENT-RESPONSE-COOKBOOK
Hash
md5: e19d1cba1f2e1656bb6e4f9e9b1a5cb9
sha-256: 08f96fd64a6faa53fdb9badf47f549ee182be2123c91e695348765a091acd686
往期文章
![]()
文章来源: https://mp.weixin.qq.com/s?__biz=MzU1NDkwMzAyMg==&mid=2247502505&idx=1&sn=d9e1b182c582b7ff1fdbc77b3f66b415&chksm=fbdefe28cca9773ea0faf5babdf465f4526ab5fc6bbc30ce08e7ed3d8294fd671cb8e4da7d91&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh