如何判断Ubuntu系统被exploit

Ubuntu系统被Exploit的判断与排查

一 快速判断清单

• 登录与账户异常：执行last、lastb、lastlog，若出现未知用户、异常来源IP、失败登录激增，或**/etc/passwd存在UID=0**的异常账户，需高度警惕。
• 进程与端口异常：执行ps -ef、top，配合lsof -p 查看可疑进程及其打开的文件/端口；留意CPU/内存占用异常的未知进程。
• 网络连接异常：执行ss -tulnp、netstat -tulnp，发现未知监听端口、对外异常连接、连接到可疑IP/域名。
• 持久化痕迹：检查**/etc/rc.local、/etc/init.d、/lib/systemd/system、/etc/systemd/system中的异常服务；查看/etc/crontab、/etc/cron.*、/var/spool/cron的异常计划任务；排查用户目录~/.bashrc、~/.profile、~/.bash_profile**等是否被植入命令。
• 权限与特权滥用：审查**/etc/sudoers、/etc/sudoers.d/是否被新增条目；执行find / -perm -4000 -ls查找异常的SUID/SGID**可执行文件。
• 系统完整性异常：执行debsums -c发现被篡改的系统文件；必要时用**dpkg --verify **定位具体包。
• 恶意软件迹象：运行rkhunter、chkrootkit检测常见rootkit/后门；用ClamAV扫描恶意文件。
• 内核与漏洞暴露：使用linux-exploit-suggester评估内核提权风险；用Lynis做系统加固审计；用Nessus/OpenVAS做漏洞扫描。
  以上迹象单独出现未必代表被入侵，但多项同时出现或无法合理解释，基本可判定存在被利用或已被入侵的高风险。

二 关键命令速查表

三 处置与加固

• 立即隔离：将受疑主机断网/隔离VLAN，避免横向扩散；保留现场用于取证。
• 备份与快照：在隔离环境下对关键数据与配置做只读备份/快照，便于后续分析与恢复。
• 更新与补丁：执行sudo apt update && sudo apt full-upgrade，优先修复内核/关键服务相关更新；重启至最新内核。
• 清理与恢复：依据检查结果卸载恶意软件、禁用/删除异常服务与计划任务；对被篡改文件执行重新安装（如 debsums 报告不匹配的包）。
• 加固与收敛：启用UFW/iptables仅放行必要端口；关闭不必要的服务/内核模块；按需启用AppArmor/SELinux；完善日志与审计并集中存储。
• 持续监测：部署或加强文件完整性监控（如Tripwire）、入侵检测（如Snort）与主机加固审计（Lynis），建立基线与告警机制。

四 取证与后续

• 证据保全：备份**/var/log/（auth.log、syslog、journal）、/etc/关键配置、crontab与systemd单元、异常进程的可执行文件与lsof清单；保留内存镜像与网络抓包**如有条件。
• 变更复盘：对比**/etc/passwd、/etc/shadow、/etc/sudoers与cron等的修改时间与内容**，梳理入侵路径与持久化点。
• 复测验证：在完成清理与加固后，使用rkhunter、chkrootkit、debsums、LES等再次复核，确认风险清除与配置合规。
• 通报与加固：按组织流程进行事件通报与风险评估，更新应急预案与基线，安排定期漏洞扫描与审计。