Linux 应急相应 - 总纲

应急准备：制定应急策略组建应急团队其他应急资源安全事件处理：痕迹数据获取分析、锁定攻击源 删除可疑账号 关闭异常进程、端口 禁用相应异常开机启动项 删除异常定时任务 卸载或删除相应异常服务解决、恢复报告记录总结

Linux应急相应 - 工具

Rootkit查杀：chkrootkit  http://www.chkrootkit.orgrkhunter  http://rkhunter.sourceforge.net病毒查杀：clamav  http://www.clamav.net/download.htmlWebShell查杀https://www.chaitin.cn/zh/cloudwalkerhttp://edr.sangfor.com.cn/backdoor_detection.htmlLinux安全检查脚本：https://github.com/grayddq/GScanhttps://github.com/ppabc/security_checkhttps://github.com/T0xst/linux

短连接排查处理

挖矿病毒排查处理

取证框架 - Volatility

镜像的相关信息 - imageinfo | Timeliner查找异常的进程 - Pslist | Psscan | Pstree分析进程的DLL和句柄 - dlllist | getsids | handles | filescan | Svcscan | netscan查找恶意的代码注入 - malfind | ldrmodules 检测Rootkit工具 - psxview 转储可疑的进程或者驱动 - dlldump | moddump | procdump | memdump 注册表分析插件 - hivelist | hivedump | printkey | userassist | hashdump