如何检测并清除Ubuntu Exploit

Ubuntu Exploit 检测与清除实操手册

一处置流程与隔离

二快速检测清单

系统基线核对
- 查看系统与内核版本：cat /etc/os-release、uname -r，确认是否仍在受支持周期。
可疑进程与网络连接
- 活跃连接与进程：ss -tulnp、netstat -tulnp；结合 ps -ef 定位异常进程及其工作目录（pwdx <PID>）。
日志与登录审计
- SSH 登录与爆破：sudo tail -f /var/log/auth.log、sudo journalctl -u ssh -r、sudo lastb。
恶意软件与Rootkit检测
- 反病毒：clamscan -r /path 或全盘扫描（见下文命令）。
- Rootkit：sudo chkrootkit、sudo rkhunter --check --update。
完整性校验与文件属性
- 文件系统完整性：sudo aide --check（需先初始化）；
- 可疑隐藏与不可删文件：lsattr <file>、sudo chattr -i <file> 后再处理。
漏洞与配置审计
- 本地审计：sudo lynis audit system；
- 漏洞扫描：专业工具如 Nessus/OpenVAS，或面向主机的 Linux-Exploit-Suggester；
- 持续漏洞管理：无代理扫描器 Vuls；容器/镜像依赖扫描 Trivy。

三清除与恢复步骤

终止恶意进程与阻断持久化
- 精准终止：kill -9 <PID>（先确认命令路径与工作目录，避免误杀）；
- 清理持久化：检查并清理定时任务与系统服务
  - 定时任务：/etc/crontab、/etc/cron.*/*、crontab -l -u <user>；
  - 系统服务与自启动：/etc/init.d/、/etc/rc.local、systemctl list-units --type=service；
  - 删除可疑脚本与二进制后，务必清理上述持久化入口。
删除恶意文件与还原被篡改文件
- 对设置了不可变属性的文件先 sudo chattr -i <file> 再删除；
- 若系统关键二进制（如 /bin/ls、/usr/sbin/ss）被替换，优先从相同版本镜像或安装介质恢复，保持权限与所有者一致。
查杀与日志取证
- 使用 ClamAV 更新病毒库并扫描：
  - 更新定义：sudo freshclam；
  - 扫描示例：clamscan -r --bell -i /home、clamscan -r /（生产环境慎用全盘删除，建议先人工核验）；
  - 查看结果：grep FOUND /var/log/clamav/clamscan.log。
更新与重启
- 修补系统：sudo apt update && sudo apt upgrade -y；内核更新后重启；
- 启用自动安全更新：sudo apt install unattended-upgrades && sudo dpkg-reconfigure -plow unattended-upgrades。
无法干净清除时的处置
- 在确保有可靠备份的前提下，从最近的无毒备份恢复，或对关键业务环境执行干净重装并分阶段恢复业务。

四加固与防止复发

身份与访问控制
- 禁用 root 远程登录：sudo sed -i 's/^#*PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config；
- 仅启用密钥登录：PasswordAuthentication no、PubkeyAuthentication yes；
- 限制可登录用户：AllowUsers <youruser>；
- 重启 SSH：sudo systemctl restart ssh。
防火墙与入侵防护
- 启用 UFW：sudo ufw enable、sudo ufw default deny incoming；仅放行必要端口（如 22/80/443）；
- 防暴力破解：sudo apt install fail2ban && sudo systemctl enable --now fail2ban。
系统与内核加固
- 最小权限与定期审计：清理无用账户与 sudo 授权，定期执行 lynis 与 AIDE 基线检查；
- 持续漏洞管理：定期使用 Vuls/Trivy/OpenVAS 扫描并修复高危 CVE；
- 如面临特定内核风险，可在评估后临时禁用高风险特性（如非特权用户命名空间），并在修复后恢复。

最新问答