下载地址

【NOP Team】Linux 应急响应手册

简介

Linux 应急响应手册是由NOP Team编写的一本Linux 版的应急响应手册。

作者自述：在当前的攻防对抗态势中，防守一侧的情况就和木桶效应一样，尤其是在已经被攻破的系统中，排查持久化控制程序如同大海捞针，这本应急响应手册的意义是希望能够有效发现木桶的短板，给予应急响应人员一个较为明确的指导思想，同时给出经过实践测试的操作方法，保证受害系统经过了一次相对全面的排查，以避免由于应急响应人员知识广度和能力水平问题而造成的二次木桶效应

预览

目录预览

• 简介
  
  事件预警来源
  
  处置前准备
  
  挖矿事件
  
  - 0x01 恶意域名
  - 0x02 获取异常进程pid
  - 0x03 寻找恶意文件样本
  - 0x04 确走程序运行时间
  - 0x05处理异常进程
  - 0x06 删除恶意文件
  - 0x07 善后阶段
  - 0x08 常规安全检查阶段
  
  远控后门
  
  - 0x00 事件来源
  - 0x01 通过EDR获取事件直接定位到文件
  - 0x02 通过态势感知获取事件，外连ip+端口
  - 0x03 查找进程信息
  - 0x04 确走程序运行时间
  - 0x05 处理异常进程
  - 0x06 删除恶意文件
  - 0x07 善后阶段
  - 0x08 常规安全检查阶段
  
  勒索病毒
  
  - 0x00 简介
  - 0x01 确定勒索病毒家族
  - 0x02 根据勒索病毒类型寻找解决方法
  - 0x03 解决勒索
  
  暴力破解
  
  - 0x00 简介
  - 0x01 SSH 暴力破解
  - 0x02 Mysql 暴力破解
  - 0x03 FTP 暴力破解
  - 0x04 Redis 未授权访问&
  - 暴力破解
  - 0x05 Mongodb 暴力破解0x06 smtp 暴力破解
  - 0x07 善后阶段
  
  非持续性事件
  
  - 0x00 简介
  - 0x01 确走目标域名或IP
  - 0x02 修改域名解析记录
  - 0x03 设置监控程序
  - 0x04 等待恶意程序执行
  - 0x05 确走程序运行时间
  - 0x06 处理异常进程
  - 0x07 删除恶意文件
  - 0x08 善后阶段
  
  恶意软件包供应链攻击
  
  - 0x00 事件来源
  - 0x01 通过 pid 确定具体文件
  - 0x02 确走恶意文件所属软件包
  - 0x03 确走恶意软件包相关文件
  - 0x04 打包恶意软件所有相关文件
  - 0x05 确走程序运行时间
  - 0x06 分析恶意软件包并处理异常进程
  - 0x07 删除恶意软件包
  - 0x08 善后阶段
  
  隧道
  
  - 0x01 SSH隧道
  - 0x02 DNS隧道
  - 0x03ICMP隧道
  - 0x04 HTTP/HTTPS 隧道
  - 0x05 SSL加密隧道
  - 0x06 Socks隧道
  - 0x07 Wi-Fi or Bluetooth隧道
  
  常规安全检查
  
  - 0x01 杀毒工具查杀
  - 0x02 history 信息
  - 0x03 计划任务
  - 0x04 账户信息
  - 0x05 特权账户
  - 0x06 登录信息
  - 0x07 特殊权限文件
  - 0x08 动态链接库劫持
  - 0x09 BASH内置命令
  - 0x10 BASH 函数
  - 0x11 环境变量
  - 0x12 启动项&配置脚本
  - 0x13 ssh key
  - 0x14 ssh config
  - 0x15 alias 信
  - 0x16 DNS配罟
  - 0x17 日志
  - 0x18 ptrace_scope
  - Ox19 ASLR
  - 0x20 capabilities
  - 0x21 iptables 端口复用
  - 0x22 密码填充检查
  - 0x23 服务检查
  - 0x24 motd 检査
  - 0x25 进程启动文件检查
  - 0x26 软件及其配置文件完整性检查
  - 眰閆寞簦叭郿圙27 sudo 配置检查
  - 0x28 第二方软件源 GPG密钥检查
  - 0x29 计划任务日志
  
  善后阶段
  
  - 0x01 定损
  - 0x02 针对性排查处理
  
  常见问题的解决方法
  
  1.文件无法删除
  
  - 0x01 文件被进程占用
  - 0x02 文件存在隐藏属性
  - 0x03 文件上层目录存在 SBIT 权限
  
  2.netstat -pantu 不显示小技巧
  
  3.ps、top 等工具无法看到恶意进程
  
  - 0x01 通过挂载进行了隐藏
  - 0x02 ps、top 命令被替换
  - 0x03 LD PRELOAD 等方法共享库劫持
  
  小技巧
  
  - 0x01 查找文件
  - 0x02 查找文件内容
  - 0x03 确定系统相关信息
  - 0x04 系统完整性检查
  - (root杈限下执行)
  - 0x05 系统文件监控工具
  - 0x06 查看glibc版本
  - 0x07 文本比对
  - 0x08 数据恢复
  - 0x09 批量查找文件并打印信息
  - 0x10 拷贝取证
  - 0x11 history 显示执行时间
  - 0x12 单独查看某个进程的日志
  
  知识点附录
  
  - 0x01 Linux 守护进程【进程组session(会话)job(作业)
  - 0x02 Linux 启动项默认情况
  - 0x03 SSH隧道
  - 0x04 线程内存相关信息文件存储位置
  - 0x05 与C&C隐藏技术的对抗
  

当然，有想了解更多或者遇到无法解决的问题的时候，欢迎各位进企鹅🐧聊天群交流讨论！615555402