Linux 应急相应 - 总纲
应急准备:
制定应急策略
组建应急团队
其他应急资源
安全事件处理:
痕迹数据获取
分析、锁定攻击源
删除可疑账号
关闭异常进程、端口
禁用相应异常开机启动项
删除异常定时任务
卸载或删除相应异常服务
解决、恢复
报告记录总结
Linux应急相应 - 工具
Rootkit查杀: chkrootkit http://www.chkrootkit.org rkhunter http://rkhunter.sourceforge.net 病毒查杀: clamav http://www.clamav.net/download.html WebShell查杀 https://www.chaitin.cn/zh/cloudwalker http://edr.sangfor.com.cn/backdoor_detection.html Linux安全检查脚本: https://github.com/grayddq/GScan https://github.com/ppabc/security_check https://github.com/T0xst/linux
短连接排查处理
挖矿病毒排查处理
取证框架 - Volatility
镜像的相关信息 - imageinfo | Timeliner 查找异常的进程 - Pslist | Psscan | Pstree 分析进程的DLL和句柄 - dlllist | getsids | handles | filescan | Svcscan | netscan 查找恶意的代码注入 - malfind | ldrmodules
检测Rootkit工具 - psxview
转储可疑的进程或者驱动 - dlldump | moddump | procdump | memdump
注册表分析插件 - hivelist | hivedump | printkey | userassist | hashdump