Linux系统中exploit的应急响应措施

Linux 系统中 exploit 的应急响应措施

一 目标与处置原则

• 目标聚焦四点：抑制与遏制（先止损、防扩散）、分析与诊断（确定入侵路径与影响）、根除与恢复（清理后门并恢复业务）、复盘改进（加固与流程完善）。
• 处置原则：优先保护证据完整性（避免随意重启或清理）、遵循最小影响（在可控范围内隔离）、全程留痕记录（命令与输出均需时间戳留存）、准备离线工具包（避免依赖可能被篡改的系统命令）。

二 快速检测与定位

• 资源与进程异常：使用 top/htop、ps 按 %CPU/%MEM 排序，关注位于 /tmp、/var/tmp、/dev/shm 的异常进程、伪装系统进程名、长期高占用等特征。
• 网络连接与外联：用 lsof -i -Pn、ss -tunap、netstat -antlp 排查异常端口与 C2/矿池 外联（如 4444、8888 等非标准端口、陌生 IP/域名）。
• 持久化与账号：审查 crontab -l、/etc/cron、/etc/anacrontab、/etc/rc.local、systemctl list-unit-files --type=service --state=enabled*，以及 ~/.ssh/authorized_keys、/etc/shadow、/etc/passwd 中的可疑特权账号与 sudo 权限。
• 文件完整性与 Rootkit：对 /bin、/sbin、/usr/bin 等关键命令做 md5sum/sha256sum 基线比对；使用 chkrootkit、rkhunter 检测系统命令篡改与后门。
• Web 侧排查：在 /var/www 下查找近期修改的脚本，检索常见 WebShell 特征（如 eval、base64_decode、system、exec、passthru、shell_exec）。

三 抑制遏制与证据保全

• 立即隔离：物理拔网或逻辑隔离（交换机端口禁用/ACL 隔离），必要时仅允许 跳板机/堡垒机 管理访问，并阻断所有出站连接以抑制数据外泄与 C2 通信。
• 变更凭证：立刻重置 root 与所有用户密码、数据库口令、SSH 私钥/authorized_keys，防止“留后门”。
• 证据保全：在隔离状态下采集易失性数据（进程树、网络连接、打开文件、登录会话、命令历史、定时任务等），优先使用离线/只读取证工具，避免污染证据链。
• 临时阻断：对确认的恶意 IP/域名 下发防火墙阻断规则，缩小影响面并辅助溯源。

四 根除与恢复

• 终止与清理：kill 可疑进程并清理其可执行文件与工作目录；对顽固样本可结合 lsof/ss 确认句柄与连接后再清理，避免“杀不死”的守护链。
• 清除持久化：删除异常 crontab 与系统级计划任务、禁用/移除恶意 systemd 服务 与 rc.local 自启项、清理 authorized_keys 中的未知公钥。
• WebShell 处置：备份取证后删除 Web 目录中的木马文件，复核 上传目录 与 解压/缓存目录，并检查是否被定时任务再次拉取。
• 系统完整性修复：对 被篡改的系统命令 从 官方仓库 重装；若 Rootkit 迹象明显或系统命令大面积异常，优先备份数据后离线重装系统，再恢复业务。
• 漏洞修复与加固：执行 yum/apt 全量更新 与应用补丁；仅开放必要端口与服务，使用 firewalld/iptables 实施最小权限访问控制；启用 SELinux Enforcing；部署 auditd 与集中式日志（如 rsyslog/ELK/Splunk）并开展持续监控与审计。

五 常用命令与检查清单