如何识别并应对Linux Exploit攻击

识别并应对 Linux Exploit 攻击

一快速识别要点

系统层异常
- 内核或关键服务频繁崩溃、自动重启，出现与内核/模块相关的 Oops/BUG 信息。
- 出现可疑的 SUID/GUID 可执行文件（例如 find / -perm -4000 -o -perm -2000 2>/dev/null），或异常隐藏目录与文件（如 /tmp/.l/、隐藏的 “… ” 目录）。
账户与登录异常
- /var/log/secure、journalctl 中出现大量失败登录、异常 SSH 来源 IP、非常规时间登录、su/sudo 滥用记录。
- /etc/shadow 出现空口令账户，或 /etc/sudoers / sudoers.d/ 被异常修改。
进程与网络异常
- 未知进程占用高 CPU/内存，出现与系统不匹配的 netstat -antupl 连接（例如连接到陌生 IP 的高频短连接）。
- 出现可疑监听端口、反向 TCP 连接、异常 ICMP 流量；抓包可见异常载荷或与已知漏洞利用特征匹配的流量（如 Metasploit 反向 shell 会话）。
文件与完整性异常
- /tmp、/dev/shm、/var/tmp 下出现可执行脚本/二进制（如 .httpd、sniffer、pscan 等），或系统命令被替换。
- 关键系统文件哈希变化、新增未知内核模块、启动项异常（cron、systemd、rc.local、/etc/rc*.d/）。

二处置流程

立即隔离与止血
- 将受疑主机从网络隔离（物理断网或 VLAN 隔离），优先保护未受影响系统；关闭非必要服务与端口，限制横向移动。
证据保全与初步取证
- 保存当前内存与进程快照（如 ps auxf、top -b -n1）、网络连接（ss -tunap、netstat -antupl）、系统日志（/var/log/、journalctl -xe）、定时任务（crontab -l、/etc/cron、systemctl list-timers*）与可疑文件。
- 使用 tcpdump 抓包留存网络证据，便于后续溯源与取证分析。
临时加固
- 临时禁止外网访问、仅保留管理通道；重置可疑账户口令，强制所有用户下次登录修改密码；撤销可疑 sudo 授权；必要时将 SSH 改为密钥登录并禁止 root 远程登录。
清除与恢复
- 依据取证结果清理恶意文件与启动项、卸载可疑内核模块、恢复被篡改配置；对受影响系统优先选择“重建+补丁”而非就地修复，确保不留后门。
验证与复盘
- 复测关键业务与访问控制；更新 IDS/IPS/EDR 与 WAF 规则；复盘事件根因、改进检测与响应流程。

三加固与预防

系统与软件更新
- 持续应用安全补丁；RHEL/CentOS 使用 yum/dnf update，Debian/Ubuntu 使用 apt update && apt upgrade；关键服务器可评估 内核热补丁 方案以减少重启窗口。
最小化与端口治理
- 仅安装必要组件，禁用非必要服务与端口；通过 systemctl 与 firewalld/iptables/ufw 实施“默认拒绝、按需放行”策略。
身份与访问控制
- 禁用 root 远程登录，使用 SSH 密钥 认证；实施强口令策略与周期轮换；审计 sudoers 与特权账户使用。
强制访问控制与系统审计
- 启用并保持 SELinux 或 AppArmor 为强制模式，优先“调策略而非关闭”；使用 auditd 监控关键目录（如 /etc）变更并留存审计日志。
文件完整性与恶意代码防护
- 部署 AIDE/Tripwire 做文件完整性基线；使用 rkhunter/chkrootkit/ClamAV/LMD 检测后门与恶意软件；结合 Lynis 做安全基线审计。
漏洞与配置评估
- 定期运行 OpenVAS/Nessus 漏洞扫描；使用 OpenSCAP 对照 CIS 等基准做合规检查；对容器与镜像执行 Trivy 等镜像漏洞扫描。

四常用工具与命令清单

类别	工具	典型用途	常用命令/要点
漏洞扫描	OpenVAS/Nessus	系统/应用漏洞评估	定期全量扫描与风险处置闭环
合规审计	OpenSCAP	对照 CIS 等基准检查	oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_cis …
主机审计	Lynis	安全基线/加固建议	lynis audit system
Rootkit/后门	rkhunter/chkrootkit	检测 rootkit 与可疑文件	rkhunter --check / chkrootkit
恶意软件	ClamAV/LMD	病毒/木马/Webshell 检测	freshclam; clamscan -r /var/www
文件完整性	AIDE/Tripwire	变更检测与基线比对	aideinit; aide --check
审计日志	auditd	关键文件与命令审计	auditctl -w /etc -p wa -k etc_changes
网络检测	Snort/Suricata	IDS/IPS 实时监测	结合社区/商业规则集
网络扫描	Nmap	端口/服务/漏洞探测	nmap -sS -Pn -T4 -p- -A target_ip
包漏洞	debsecan/dnf updateinfo	发行版已知漏洞清单	debsecan --suite bookworm; dnf updateinfo list updates --security
容器镜像	Trivy	镜像漏洞扫描	trivy image --severity CRITICAL,HIGH your-image:latest
日志聚合	Rsyslog/Journald	集中与持久化日志	配置 . @logserver:514；mkdir -p /var/log/journal && systemctl restart systemd-journald

五常见利用场景与对策

内核本地提权（如 CVE-2016-5195 Dirty COW）
- 识别：本地用户异常获得 root；系统出现内核异常日志。
- 处置：立即升级内核并重启；无法立即重启时评估 内核热补丁；排查可疑 SUID 与内核模块。
服务漏洞被远程利用（如 Samba usermap_script 远程命令执行）
- 识别：外网对 SMB 异常访问与反向 shell；Wireshark/IDS 可见典型载荷与回连。
- 处置：临时封禁 SMB 端口（445/tcp），升级 Samba 至修复版本，审计并清理后门与计划任务。
弱口令/暴力破解与 SSH 滥用
- 识别：/var/log/secure 大量失败登录、非常规时段登录、成功登录后立即执行提权命令。
- 处置：封禁来源 IP，强制重置口令，启用 密钥登录 并禁用 root 远程登录，限制 MaxAuthTries 与登录源。

最新问答