Ubuntu Exploit：如何应对网络攻击

Ubuntu 被入侵或遭遇 Exploit 的应对与加固清单

一、紧急处置与隔离

二、快速自查与取证要点

账户与权限异常
- 列出所有账户与登录 Shell：cat /etc/passwd | awk -F: '{print $7}' | sort | uniq -c，排查异常或多余 Shell。
- 检查可疑账户的登录痕迹：lastlog -u <user>、last <user>、lastb <user>；核查 id <user> 与所属组。
- 审核 sudo 权限：cat /etc/sudoers /etc/sudoers.d/*，确认无越权配置。
持久化与自启动
- Systemd：systemctl list-unit-files --type=service；排查 /etc/systemd/system/、~/.config/systemd/user/。
- SystemV/Upstart：ls /etc/init.d/、ls /etc/rc*.d/、initctl list。
- 计划任务：cat /etc/crontab、ls /etc/cron.*，以及各用户的 crontab -l。
- Shell 初始化与登录脚本：~/.bashrc、~/.bash_profile、~/.profile、/etc/profile、/etc/bash.bashrc。
网络与进程取证
- 实时抓包：sudo tcpdump -i any -w capture.pcap（必要时限定端口/主机以便分析）。
- 图形化分析可用 Wireshark 打开 capture.pcap 回溯可疑会话与载荷。
日志与入侵迹象
- 重点日志：/var/log/auth.log（SSH 登录）、/var/log/syslog、/var/log/kern.log。
- 结合 grep/awk 检索失败登录、异常命令、可疑内核消息与端口外连。

三、遏制与修复操作

访问控制与阻断
- 启用并收紧防火墙：仅放行必要端口（如 22/80/443 或自定义的 2222），默认拒绝入站。
- 使用 fail2ban 自动封禁暴力破解来源；必要时临时封禁可疑网段。
SSH 安全加固
- 禁止 root 登录：PermitRootLogin no。
- 仅允许特定管理用户：AllowUsers <admin>。
- 使用密钥登录并禁用口令：PasswordAuthentication no，密钥妥善保管。
- 可更改默认端口（如 2222）以降低噪音，但需同步更新防火墙与客户端配置。
系统与网络加固
- 及时更新补丁：sudo apt update && sudo apt upgrade -y；生产环境建议启用自动安全更新。
- 关闭不必要的服务与端口，减少攻击面。
- 内核与网络防护：/etc/sysctl.conf 中启用 rp_filter、禁用源路由等，执行 sysctl -p 生效。
恶意软件与后门排查
- 使用 chkrootkit、rkhunter 检测常见 rootkit 迹象。
- 检查异常内核模块：lsmod、modinfo；可疑进程：ps auxf、lsof -p <pid>。
- 清理持久化条目（异常 cron、systemd 服务、开机脚本、rc.local 等）后再恢复服务。

四、恢复与加固及长期监测

恢复与验证
- 从干净、离线的最新备份恢复系统与数据，确保备份未被污染；恢复后再次全量扫描。
- 变更关键凭据（SSH 密钥、数据库与应用口令、管理口/控制台密码），并启用多因素认证（如可用）。
- 分阶段上线：先在隔离网段验证，再接入生产。
长期监测与加固
- 持续监控与告警：集中收集与分析 auth.log、syslog 等，结合 fail2ban 与日志审计。
- 入侵检测/防御：部署 OSSEC 进行主机行为监控与文件完整性校验；需要更强网络侧检测时可部署 Snort（可配合 Barnyard2、BASE 做告警与可视化）。
- 强制访问控制：启用 AppArmor（Ubuntu 默认支持），为关键服务（如 sshd、nginx、mysqld）加载最小化策略，降低提权与横向移动风险。
- 备份与演练：定期离线/异地备份，定期演练“断网—取证—加固—恢复”流程，验证预案有效性。

最新问答