ubuntu exploit如何进行应急响应

Ubuntu 被入侵后的应急响应流程

一 目标与原则

• 目标：在最短时间内完成研判—隔离—止损—取证—清除—加固—复盘，降低业务中断与数据泄露风险。
• 原则：优先保护现场与证据、先隔离后分析、最小改动原则、全程留痕（命令、截图、日志导出）。

二 快速处置与隔离

• 立即将受害主机从内网/互联网隔离（物理断网或云安全组封禁），避免横向移动与数据外泄。
• 保护现场：暂停可疑进程可能影响取证，先记录关键信息（进程、连接、定时任务、文件时间）再处置。
• 快速止损：临时封禁可疑来源 IP（云安全组/iptables），保留策略以便后续溯源。
• 备份关键证据：导出相关日志与配置、可疑文件样本，必要时内存镜像与磁盘快照。

三 取证与排查要点

• 日志与登录审计
  • Ubuntu 认证日志：/var/log/auth.log；系统日志：/var/log/syslog。
  • 成功登录：grep "Accepted" /var/log/auth.log；失败登录：grep "Failed" /var/log/auth.log。
  • 登录历史与失败记录：last、lastb、lastlog。
• 网络连接与端口
  • 当前连接与监听：ss -tulnp 或 netstat -antlp；可疑外连可结合 lsof -i 定位进程。
• 进程与资源
  • 资源占用：top/htop；进程树与完整信息：ps -ef、ps aux。
  • 隐藏进程排查：对比 /proc 目录枚举的 PID 与 ps 输出，识别异常。
• 用户与权限
  • 用户清单与特权账号：cat /etc/passwd、awk -F: '$3==0 {print $1}' /etc/passwd（UID 为 0 的账号）。
  • 密码与锁定状态：/etc/shadow 检查空口令、禁用标记（如 *、!、!!）。
  • Sudo 权限：cat /etc/sudoers、cat /etc/sudoers.d/*，确认无越权配置。
• 持久化与启动
  • 计划任务：crontab -l、cat /etc/crontab、ls /etc/cron.*、ls /var/spool/cron/crontabs。
  • 系统服务与自启动：systemctl list-unit-files --type=service --state=enabled、ls /lib/systemd/system/*.service /etc/systemd/system/*.service、cat /etc/rc.local。
  • Shell 初始化与登录脚本：~/.bashrc、~/.bash_profile、~/.profile、/etc/profile、/etc/bash.bashrc。
• 文件与完整性
  • 近期变更文件：find / -mtime -1 -ls；异常 SUID/SGID：find / -type f \( -perm -4000 -o -perm -2000 \) -ls。
  • 系统包完整性：debsums -c；异常则 apt-get install --reinstall <package> 修复。
• 恶意软件与矿池特征
  • 异常进程名、隐藏目录（如 /tmp、/dev/shm）、伪装系统进程。
  • GPU 挖矿排查（具备 NVIDIA GPU 时）：nvidia-smi 观察异常占用与进程。
  • 可疑命令别名：alias 检查是否被重写为空操作以干扰排查。
• 网络流量取证
  • 抓包与回放分析：tcpdump -i any -w capture.pcap；必要时用 Wireshark 深入分析。

四 常见攻击场景与处置要点

• SSH 爆破与公钥后门
  • 研判：在 /var/log/auth.log 检索 Accepted password 与来源 IP；last 确认成功登录；检查 ~/.ssh/authorized_keys 是否新增公钥。
  • 处置：立即删除可疑公钥、重置涉及账号与 root 密码、封禁来源 IP；无法快速定位入口时优先重装系统并修复漏洞。
• 挖矿木马
  • 现象：CPU/GPU 异常占用、与矿池域名通信、异常定时任务与启动项。
  • 处置：终止恶意进程、清理定时任务与自启动、删除恶意文件与持久化、核验并修复系统完整性。
• Web 入侵与网页篡改
  • 研判：比对站点文件修改时间、检查 Web 目录与数据库内容是否注入恶意代码。
  • 处置：下线站点、清除注入内容、修补漏洞（如注入/弱口令）、恢复备份并加固。

五 恢复与加固清单

• 账号与权限
  • 清理异常账号，重置所有高权限与业务账号密码；限制 sudo 使用范围；启用 多因素认证（MFA）。
• 服务与端口
  • 关闭不必要的端口与服务；仅允许跳板/管理网段访问 SSH（22）；使用 密钥登录并禁用密码登录。
• 补丁与完整性
  • 执行 apt update && apt full-upgrade -y 更新系统与应用；使用 debsums 持续校验关键包；对关键配置文件设置不可变位（chattr +i）。
• 日志与审计
  • 集中采集与长期保留 auth.log、syslog 等；开启命令审计（如 auditd）；对外发连接建立基线告警。
• 入侵检测与监控
  • 部署 OSSEC/Wazuh 等 HIDS 进行文件完整性、日志分析与主动告警；结合 tcpdump/Wireshark 做流量取证。
• 备份与演练
  • 建立离线与异地备份；定期演练应急流程与恢复演练，验证备份可用性与处置时效。