Linux exploit攻击有哪些常见迹象

Linux 入侵常见迹象与快速核查要点

一 资源与网络异常

• CPU、内存、磁盘 I/O 异常飙高，系统响应变慢或卡顿，常见于挖矿、DDoS/垃圾流量转发、恶意脚本运行等。可用top/htop/sar观察异常进程与持续高占用。
• 出网带宽异常，出现持续外发流量或周期性峰值，可能用于对外攻击/数据外泄。可用iftop/nload定位占用带宽的进程与连接。
• 未知端口监听或异常网络连接（尤其是对外长连接、连接到陌生 IP/端口），可用ss -tulnp或netstat -tulnp查看。
• 系统或安全组件异常，如防火墙/杀毒/入侵检测未运行或报错。

二 身份与会话异常

• SSH 暴力登录痕迹：在**/var/log/auth.log或/var/log/secure**中出现大量“Failed password”，或异常 IP 出现“Accepted password”。可快速筛查：
  • grep “Failed password” /var/log/auth.log
  • grep “Accepted password” /var/log/auth.log
• 异常登录历史：last/lastb显示未知用户、异常时间或来源 IP 登录；w/who查看当前登录会话。
• 命令历史缺失或被清空：~/.bash_history异常为空或被删除，常见于攻击者试图抹除痕迹。
• 特权账户异常：/etc/passwd出现新增或可疑用户；UID=0 的非授权账户；/etc/shadow存在空口令账户。可核查：
  • awk -F: ‘$3==0 {print $1}’ /etc/passwd
  • awk -F: ‘length($2)==0 {print $1}’ /etc/shadow

三 进程、文件与持久化痕迹

• 未知进程/守护进程：ps aux或top出现不认识的可执行文件；lsof -p 查看其打开文件、网络连接与可执行路径，常在/tmp、/var/tmp、/dev/shm等目录。
• 系统命令被替换或隐藏：/bin/ps、/bin/ls等核心二进制文件大小/时间/哈希异常；出现隐藏文件/点号文件规避检测。
• 定时任务与开机自启被滥用：crontab -l、/etc/crontab、/etc/cron.d/出现可疑计划任务；/etc/rc.local、/etc/rc*.d、systemd 服务被新增未知服务以实现持久化。
• Web 应用异常行为：Nginx/Apache 访问日志出现高频POST、扫描后台路径、异常 User-Agent 或来源 IP。
• 文件完整性异常：/etc/passwd、/etc/shadow、/etc/hosts等被篡改；使用AIDE/Tripwire可发现未授权变更。

四 恶意软件与横向移动迹象

• 挖矿特征：进程名或命令行包含xmrig、kdevtmpfsi等；出现curl/wget从GitHub/Netlify拉取挖矿或恶意二进制的痕迹；用pkill杀死竞争挖矿进程。
• 蠕虫式传播：利用SSH密钥扩散，向其他主机发起连接或植入恶意软件。
• 利用漏洞投放载荷：如通过Log4j（CVE-2021-44228）下发Mirai等恶意样本。
• Rootkit 迹象：rkhunter/chkrootkit告警；系统工具行为与内核/库不一致。

五 快速核查命令清单

• 资源与网络：top/htop；iftop/nload；ss -tulnp 或 netstat -tulnp
• 身份与会话：last/lastb；w/who；grep “Failed|Accepted password” /var/log/auth.log（或 /var/log/secure）
• 进程与文件：ps auxf；lsof -p ；ls -la /tmp /var/tmp /dev/shm；stat /bin/ps /bin/ls
• 持久化与配置：crontab -l；cat /etc/crontab；ls /etc/cron.d/；cat /etc/rc.local；systemctl list-units --type=service
• 账户与完整性：awk -F: ‘$3==0 {print $1}’ /etc/passwd；awk -F: ‘length($2)==0 {print $1}’ /etc/shadow；aide --check 或 tripwire --check
• Web 日志：tail/less /var/log/nginx/access.log | egrep “POST|admin|wp-login”