Debian系统中exploit利用的常见迹象有哪些

Debian系统中exploit利用的常见迹象

一 日志与账户异常

• /var/log/auth.log 出现大量失败登录、成功登录的异常时间/来源（如非工作时间、陌生IP/网段）、sudo 或 su 的异常提权记录。
• /var/log/syslog、/var/log/kern.log 出现服务异常崩溃、内核告警、可疑模块加载或异常守护进程启动。
• /etc/passwd、/etc/shadow 出现未知用户、UID/GID 异常、可登录Shell被添加到可疑账户。
• cron 或 systemd 定时任务中出现未知计划任务、异常服务单元或启动脚本。
• 审计日志（如 auditd）记录到可疑的系统调用、权限变更或敏感文件访问。

二 进程与系统资源异常

• top/htop/vmstat 显示 CPU、内存、磁盘 I/O 突然飙升，且与业务负载不匹配。
• 出现未知或伪装进程（命令路径不在 /usr/bin /bin 等常规目录）、命令行参数异常、父子进程关系异常。
• 使用 netstat/ss/lsof 发现异常监听端口、对外异常连接（尤其连接到已知恶意IP/端口）、或本不应联网的系统服务产生外联。
• 出现大量 defunct（僵尸）进程，或进程状态为 Z，常见于利用后门或异常父进程未回收子进程。

三 网络流量与连接异常

• 使用 tcpdump/wireshark 观察到高频短连接、端口扫描特征、异常协议/端口通信、与已知恶意地址的数据交互。
• 边界防火墙/主机防火墙日志显示异常入站/出站规则命中、端口敲门、或异常 ICMP/DNS 流量。
• 部署 Snort/Suricata 等 IDS/IPS 产生告警（如 Web 攻击特征、Shellcode 特征、异常载荷）。

四 文件与系统完整性异常

• AIDE/Tripwire 基线比对发现关键系统文件（如 /bin、/sbin、/usr/bin 及配置）被修改、新增隐藏文件（如 .ssh、/tmp、/dev/shm 下的可疑文件）。
• md5sum/sha256sum 校验值异常，或包管理器验证发现文件被篡改。
• rkhunter/chkrootkit 报告后门、rootkit、可疑内核模块或异常 SUID/SGID 文件。
• 系统命令被替换（如 ls、ps、netstat 等），或出现异常动态库预加载（如 LD_PRELOAD）。

五 服务可用性与外围迹象

• SSH 异常断开或拒绝连接、端口被更改、authorized_keys 出现未知公钥。
• Web/数据库/缓存 等服务响应异常、返回内容被篡改、出现可疑重定向或 Webshell 特征。
• 备份失败、日志轮转异常、磁盘空间被异常占满（可能由日志填充或挖矿/数据外泄导致）。
• 邮件系统出现大量垃圾邮件或被列入黑名单，业务对外服务能力下降。