INCIDENT_RESPONSE_COOKBOOK_For_Linux_v2.0.2信息安全资料 conv.docxVIP

简介

大家好，我们是NOPTeam,《Linux应急响应⼿册》新版终于和大家见面啦！

这是一本Linux应急响应参考书籍，自2020年5月3日开始编写，并于2021年5月13

日在NOPTeam公众号上发布第一版，内容主要包括Linux中常见应急响应事件的解决

方案、应对几十种常见权限维持手段的常规安全检查方法、应急响应过程中的知识点以及

小技巧等

Linux服务器操作系统基本上都是命令行的环境，不像Windows可以使用很多操作性很

强，使用起来很方便的图形化工具，同时，在很多场景下，我们没有办法使用自己的电脑

通过SSH等方式直接连接到服务器进行操作，而是通过物理上机或者物理上堡垒机等方

式进行操作，很多时候甚至是不允许携带电脑的，希望大家遇到这种场景的时候，手里的

这份《Linux应急响应手册》能帮到你

在当前的攻防对抗态势中，防守一侧的情况就和木桶效应一样，尤其是在已经被攻破的系

统中，排查持久化控制程序如同大海捞针，这本应急响应手册的意义是希望能够有效发现

木桶的短板，给予应急响应人员一个较为明确的指导思想，同时给出经过实践测试的操作

方法，保证受害系统经过了一次相对全面的排查，以避免由于应急响应人员知识广度和能

力水平问题而造成的二次木桶效应

《Linux应急响应⼿册v1.9》版本开始，更换了新的封⾯，本书的新封面是我和多位设计师

不断讨论了近一个月后的最终方案，主要是想致敬我的大学——哈尔滨理⼯⼤学，那里有

一群热爱网络安全的老师和同学们，他们曾给我很多帮助；还要致敬我的家乡——⿊龙

江，北国好风光，尽在黑龙江，欢迎大家去玩～

最后欢迎大家关注我们的公众号，也欢迎大家加我微信进行交流反馈：just_hack_for_fun

更新日记

v2.0.2-2025.3.5

修复了Markdown引用样式部分导出后搜索乱码问题

v2.0.1-2025.2.28

添加了目录

去除了部分标题末尾空格

v2.0-2025.2.27

各应急场景增加了流程图

完善了应急场景的处置流程，添加了确认攻击信息准确性

完善了应急场景的处置流程，添加了询问历史被攻击情况以及历史通报情况

常规安全检查章节添加了TCPWrappers后门排查

常规安全检查章节添加了敏感目录排查

常规安全检查章节添加了udev后门排查

常规安全检查章节添加了Python.pth文件后门排查

常规安全检查章节完善了profile配置检查

常规安全检查章节完善了计划任务排查中at和batch的排查

小技巧-查找特定时间段内的文件章节添加查找某段时间内创建的文件

完善处置前准备章节，增加了国产操作系统和《Windows应急响应手册》的准备

完善了pstree命令查看指定pid的进程的线程信息

修复了小技巧章节find命令错误

修复了挖矿病毒章节ps命令错误

修复了由sudo本身引起的杀死进程组命令在sudo下失效的问题

修复了暴力破解-SSH暴力破解章节文字错误

修复了数据恢复部分文字错误

修复了勒索病毒-根据勒索病毒类型寻找解决方法中的文字错误

删除了安芯网盾沙箱

删除了绿盟威胁分析中心网址

删除了WEBDIR+、Webshellkiller工具的失效链接

v1.9-2024.8.1

v1.8-2023.8.11

v1.7-2023.4.27

v1.6-2023.1.6

v1.5-202