2020应急响应实战指南

攻防攻防，有攻就有防，我们常说“未知攻焉知防”，所以一般来说，在安服团队里，应急响应是由有经验的渗透测试人员来承担；而在企业里面，应急响应则是由比较有经验的运维人员来承担。

早在17年的时候，我将自己经手处理过的一些应急响应案例，脱敏保留特定场景，整理成了一份应急响应实战笔记分享给团队的小伙伴，后来我把它上传到GitHub，目前star已超过2k+ 。

这阵子，我重新对这份笔记进行编排，并增加了部分章节，使之更完善一点。

这份应急响应笔记，我将它分为技巧篇和实战篇。技巧篇，分享了各种入侵排查、日志分析、权限维持的技巧；实战篇，分享了各种window和Linux病毒木马处理方式，以及各种web入侵事件溯源。

GitHub 地址：

https://github.com/Bypass007/Emergency-Response-Notes

最新文章目录

• [第一章：入侵排查篇]

• 第1篇：Window入侵排查

• 第2篇：Linux入侵排查

• 第3篇：常见的Webshell查杀工具

• 第4篇：如何发现隐藏的Webshell后门

• 第5篇：勒索病毒自救指南

• [第二章：日志分析篇]

• 第1篇:Window日志分析

• 第2篇:Linux日志分析

• 第3篇:Web日志分析

• 第4篇:MSSQL日志分析

• 第5篇:MySQL日志分析

• [第三章：权限维持篇]

• 第1篇：Windows权限维持--隐藏篇

• 第2篇：Windows权限维持--后门篇

• 第3篇：Linux权限维持--隐藏篇

• 第4篇：Linux权限维持--后门篇

• 第5篇：Windows命令行文件下载方式汇总

• 第6篇：三大渗透测试框架权限维持技术

• 第7篇：常见WebShell管理工具

• [第四章:Windows实战篇]

• 第1篇：FTP暴力破解

• 第2篇：蠕虫病毒

• 第3篇：勒索病毒

• 第4篇：ARP病毒

• 第5篇：挖矿病毒（一）

• 第6篇：挖矿病毒（二）

• [第五章：Linux实战篇]

• 第1篇：SSH暴力破解

• 第2篇：捕捉短连接

• 第3篇：挖矿病毒

• 第4篇：盖茨木马

• 第5篇：DDOS病毒

• 第6篇：Shell病毒

• [第六章：Web实战篇]

• 第1篇：网站被植入Webshell

• 第2篇：门罗币恶意挖矿

• 第3篇：批量挂黑页

• 第4篇：新闻源网站劫持

• 第5篇：移动端劫持

• 第6篇：搜索引擎劫持

• 第7篇：网站首页被篡改

• 第8篇：管理员账号被篡改

• 第9篇：编辑器入侵事件

---

结束语

在企业里，安全事件的发生可远不止服务器安全攻防那么纯粹了，小到一个微博账号被盗，大到一个几千万的薅羊毛事件，都是企业信息安全事件的范畴。当然它有时候并未涉及高深的技术，但是属于它的攻防场景对抗依然十分精彩。

喜欢技术交流的朋友，公众号菜单栏【联系作者】有我的个人微信号，欢迎加我微信共同探讨。