及时发现 Ubuntu 系统 Exploit 的实用方案
一 基线核查与漏洞面收敛
- 明确系统与内核版本,确认是否仍在受支持周期:执行cat /etc/os-release、uname -r,对超出支持期的版本优先规划升级或迁移。
- 立即修补已知漏洞:执行sudo apt update && sudo apt upgrade -y,重点留意内核、glibc、OpenSSL、sudo等关键组件更新。
- 减少攻击面:仅启用必需服务,使用UFW限制入站,禁用不必要的端口与协议,移除无用软件包。
- 持续漏洞评估:定期使用Lynis做系统加固基线检查,使用Nessus/OpenVAS进行漏洞扫描,结合Nmap梳理对外开放端口与服务指纹。
- 本地提权风险排查:审计SUID/SGID可执行文件(如find / -perm -4000 -o -perm -2000 2>/dev/null),核对新增或异常条目。
二 日志与主机行为异常检测
- 实时关注认证与会话:重点查看**/var/log/auth.log**(SSH 登录成功/失败、sudo 使用)、/var/log/syslog(异常进程/服务启动),配合journalctl -f做实时跟踪。
- 网络连接与进程关联:使用ss -tulnp或netstat -tulnp查看ESTABLISHED连接与监听端口,异常高位端口、陌生进程或外连可疑 IP 需重点排查;用lsof -i :端口定位端口对应进程。
- 取证抓包:对可疑时段执行sudo tcpdump -i any -w capture.pcap,后续用Wireshark分析异常协议与流量模式。
- 主机入侵检测与完整性:部署OSSEC(日志分析、FIM、rootkit 检测、主动响应),AIDE(文件完整性基线比对),Snort(网络 IDS);结合chkrootkit、rkhunter做 rootkit 例行体检,查看**/var/log/rkhunter.log**;用unhide/unhide-tcp发现隐藏进程与端口。
三 恶意软件与 Rootkit 专项排查
- 传统杀毒引擎:运行ClamAV对关键目录与用户主目录进行按需或计划任务扫描,识别常见木马/后门。
- Rootkit 检测组合拳:
- rkhunter:检查系统命令篡改、可疑内核模块、登录异常等,建议保持每日定时任务与数据库自动更新开启,报告路径**/var/log/rkhunter.log**。
- chkrootkit:快速扫描常见 rootkit 迹象。
- unhide/unhide-tcp:对比**/proc、系统调用与进程列表**,发现被隐藏的进程与 TCP/UDP 端口。
- 处置建议:发现可疑文件先保留样本与sha256sum,随后隔离/删除,并回溯对应进程与启动项。
四 持续监控与告警
- 主机与服务监控:使用systemd设置关键服务Restart=always与Watchdog,异常退出即重启并告警;用Monit对进程、内存、CPU、端口进行阈值告警与自动恢复。
- 可视化与趋势分析:部署Prometheus + Grafana采集系统/进程指标并配置阈值告警;对安全事件与日志采用ELK Stack集中化存储与检索,便于溯源与模式识别。
- 安全信息与事件管理:将OSSEC/auditd日志接入SIEM,建立规则对“多次失败登录、异常 sudo、可疑外连、内核模块加载”等触发告警。
五 事件响应与恢复
- 立即隔离:对疑似受感染主机执行网络隔离(断开网线/关闭 Wi‑Fi/ACL 阻断),避免横向扩散。
- 证据保全与评估:备份关键配置与日志,保留**/var/log/**与可疑文件样本;梳理入侵时间线、入侵路径与影响范围。
- 快速止损与加固:撤销可疑SSH 公钥、重置root/高权限账户密码、修补漏洞、关闭不必要服务与端口、更新IDS/AV特征库。
- 恢复与复盘:从干净备份恢复业务,或重建系统后最小化上线;更新WAF/防火墙策略,完善监控与告警规则,形成书面事件报告与整改清单。
