如何应对CentOS Exploit事件

CentOS Exploit事件处置与加固手册

一 事件处置流程

• 立即隔离与止血：对疑似被入侵的主机执行断网/隔离网段，优先保护现场与证据；如业务允许，先摘除公网访问，再进入处置。
• 快速取证与基线：保存关键现场信息（如当前网络连接、进程、登录历史、系统时间），便于后续溯源与复盘。
• 临时加固：在恢复前先行收紧访问面（仅放行业务必需端口与服务），避免清理不彻底导致再次入侵。
• 漏洞修复与恢复：按漏洞优先级打补丁、修复配置，完成验证后再恢复业务与网络。
• 复盘与加固：基于取证结果完善策略与监控，形成闭环，防止复发。
  以上步骤中的“断网隔离、日志与异常行为检查、漏洞扫描、及时更新与加固”均为处置与恢复的关键环节。

二 检测与取证要点

• 系统日志与登录审计：重点查看**/var/log/secure、/var/log/messages**，检索失败登录、异常su/sudo、可疑cron与SSH登录记录。
• 进程与网络连接：排查异常进程、守护进程、隐藏进程与可疑网络连接（外连C2、端口扫描、反弹Shell特征）。
• 性能与行为异常：关注CPU、内存、磁盘I/O的异常飙升，文件被篡改、未知计划任务、内核模块异常加载等迹象。
• 主动扫描与验证：使用Nmap、Nessus、OpenVAS对系统与服务进行漏洞扫描；必要时在测试环境复现验证。
• 基线核查：核对账户、服务、端口、启动项、内核与关键软件版本，形成“已知良好”基线用于比对。
  以上方法覆盖主机侧日志、性能、网络与合规扫描的检测路径。

三 修复与加固清单

• 系统更新与补丁：优先处理高危漏洞，生产环境可分批更新降低风险；命令示例：
  • 全量更新：sudo yum clean all && sudo yum -y update
  • 关键包更新：sudo yum update kernel sudo openssh* libssh2* -y**
• 服务与端口最小化：仅开放必要端口与服务，禁用不必要的守护进程与端口。
• 防火墙策略：使用firewalld精细化放通，例如仅放通HTTP/HTTPS：
  • sudo firewall-cmd --zone=public --add-service=http --permanent
  • sudo firewall-cmd --zone=public --add-service=https --permanent
  • sudo firewall-cmd --reload
• SSH安全：修改**/etc/ssh/sshd_config**，设置PermitRootLogin no，限制可登录用户/组，启用密钥登录并禁用口令（视业务而定）。
• 账户与权限：清理**/etc/passwd中的可疑账户，强制复杂密码策略与周期更换，限制su**使用范围，必要时锁定不必要账户。
• SELinux：启用并保持在Enforcing模式，减少进程越权与提权空间。
• 完整性保护：对**/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow**设置不可更改属性（如chattr +i），降低被篡改风险。
• 审计与监控：启用并集中审计日志（rsyslog/ELK），持续监测关键文件与命令执行。
• 备份与恢复：建立离线与异地备份，定期演练恢复流程，确保可在最短时间内恢复业务。
  以上措施覆盖系统更新、访问控制、账户与进程加固、日志审计与备份恢复的关键环节。

四 常见漏洞快速处置示例

五 后续预防与运维建议

• 持续补丁与合规：订阅Red Hat Security与CNVD等安全通告，定期评估与修复；使用OpenSCAP/Lynis做合规检查与基线审计。
• 加固与配置基线：固化SSH、sudo、防火墙、SELinux、账户与服务等安全基线，纳入变更管理流程。
• 监控与告警：集中收集与分析**/var/log/secure等关键日志，对异常登录、提权、横向移动与数据外泄建立实时告警**。
• 备份与演练：完善3-2-1备份策略（3份副本、2种介质、1份异地/离线），定期演练恢复与取证流程。
• 安全工具与评估：结合Nmap/Nessus/OpenVAS定期扫描，必要时进行授权渗透测试，验证防御有效性。
  以上做法有助于构建“检测-响应-修复-预防”的闭环，降低未来被exploit利用的概率。