Ubuntu 系统 Exploit 漏洞检测与处置
一、检测流程与常用命令
二、重点内核与组件漏洞的快速判定
| 漏洞 | 影响范围或条件 | 快速检测 | 修复/缓解 |
|---|---|---|---|
| CVE-2022-0847 Dirty Pipe | Linux 内核 ≤ 5.8 受影响;5.16.11/5.15.25/5.10.102 起修复 | uname -r 查看版本;若 ≤5.8 标记为需升级 | 升级至 ≥5.16.11/5.15.25/5.10.102 或更高安全版本 |
| CVE-2016-5195 Dirty Cow | 内核 >2.6.22(各发行版修复版本不同) | 结合内核版本与发行版安全公告判定 | 升级内核与相关组件 |
| CVE-2017-16995 | 内核 4.4–4.14;Ubuntu 16.04.01–16.04.04 | 结合内核与系统版本判定 | 升级内核与系统补丁 |
| CVE-2018-18955 | 内核 4.15.x–4.19.x < 4.19.2 | 结合内核版本判定 | 升级至 ≥4.19.2 或更高版本 |
| CVE-2019-13272 | 内核 4.10 < 5.1.17,且依赖桌面环境 | 结合内核与桌面环境判定 | 升级内核与系统补丁 |
| glibc CVE-2018-1000001 | glibc ≤ 2.26 | 检查 glibc 版本:ldd –version | 升级 glibc 至安全版本 |
| 说明:上表为常见高发本地提权漏洞的“版本判定”思路,实际是否可利用仍需结合补丁状态与系统配置验证。 |
三、自动化与综合扫描工具
OpenVAS:开源的综合漏洞评估平台,支持本地与远程扫描、认证扫描与详尽报告,适合对 Ubuntu 主机与网段进行系统化核查。
Nmap + NSE 漏洞脚本:快速发现服务层已知漏洞与错误配置,适合作为首轮排查工具。
Nikto:Web 服务器配置与组件漏洞扫描,适合对 HTTP/HTTPS 服务进行基线检查。
Trivy:面向容器与镜像的漏洞扫描器,适合容器化工作负载与镜像仓库的持续安全检测。
四、发现疑似 Exploit 后的处置
立即隔离:断开受感染或疑似被入侵主机的网络,避免横向扩散。
取证与影响评估:提取并备份关键日志(如 /var/log/auth.log、/var/log/syslog),梳理攻击时间线与影响范围。
紧急加固与修复:优先应用安全补丁(内核、glibc、关键服务),无法立即修复时采用临时缓解(如限制访问、关闭高危服务)。
恢复与加固:从干净备份恢复,更新凭据与密钥,开启防火墙(如 ufw),配置 fail2ban,并启用 AppArmor/SELinux 等强制访问控制。
五、合规与安全提示
