Linux exploit怎样检测入侵

Linux Exploit 入侵检测实操指南

一快速排查清单

账户与权限异常
- 检查是否存在 UID=0 的异常账户：awk -F: '$3==0 {print $1}' /etc/passwd
- 排查空口令或弱口令：awk -F: 'length($2)==0 {print $1}' /etc/shadow
- 查看最近登录与当前登录：last -a、who、w
进程与守护进程
- 列出可疑进程：ps -aef | egrep '^UID|/tmp|\./'，关注非常规路径、隐藏进程
- 检查守护进程配置：cat /etc/inetd.conf /etc/xinetd.d/* 2>/dev/null | grep -v '^#'
网络连接与监听
- 查看连接与端口：ss -tulpen、netstat -anp（若被替换可用 ss 替代）
- 检查路由与网卡：ip route、ifconfig -a
日志与审计
- 认证与系统日志：/var/log/auth.log、/var/log/secure、/var/log/syslog、/var/log/kern.log
- 登录历史与系统状态：last -a、lastlog、uptime
文件完整性与可疑文件
- 全局查找异常文件：find / -name core -exec ls -l {} \; 2>/dev/null
- 检查后门常见文件：find / -name .rhosts -o -name .forward 2>/dev/null
- 包管理器完整性（RHEL/CentOS）：rpm -Va | grep '^..5'
内核与模块
- 查看已加载模块：lsmod；排查异常内核模块或隐藏进程迹象

二主机与网络检测工具

主机型 IDS/完整性
- OSSEC/Wazuh：日志分析、FIM、rootkit 检测、主动响应（如自动封禁暴力破解 IP）
- AIDE/Tripwire：关键文件哈希基线比对，发现被篡改的二进制、配置与启动脚本
网络型 IDS/IPS
- Snort/Suricata：基于签名的网络攻击检测（溢出、扫描、Web 攻击等），可联动阻断
- PSAD：与 iptables 联动，对端口扫描与恶意流量进行告警与自动处置
审计与日志中枢
- auditd：细粒度系统调用与关键文件监控（如 /etc/passwd、/etc/shadow、/etc/sudoers）
- ELK/Graylog：集中化日志存储、检索与可视化，便于关联分析

三可疑迹象与定位方法

日志异常
- 多次失败的 SSH 登录、非常规时间登录、来自异常来源的 sudo 提权、auth.log/secure 被清空或 syslog/rsyslogd 异常退出
- 取证技巧：若日志文件被删除但进程仍持有句柄，可通过 /proc/<PID>/fd/<N> 恢复查看（如 /proc/<rsyslogd_PID>/fd/4）
进程与守护进程异常
- inetd 被异常参数调用（如 inetd -s /tmp/.xxx）或用其启动可疑程序
- ps 输出被篡改导致“看不见”的后门进程（需结合文件完整性与内核模块检查）
网络异常
- 出现与业务无关的对外连接、连接到可疑域名/IP、异常端口监听（尤其非常用高位端口）
文件与系统完整性
- rpm -Va 显示关键系统文件校验失败；find / -name core 发现异常崩溃文件
- 发现 .rhosts、.forward 等后门文件或异常 SUID/SGID 文件

四发现后的处置与加固

立即隔离与止血
- 临时下线受感染主机或限制其网络访问（封禁源/目的 IP、关闭高危端口）
- 保留现场：内存与磁盘镜像、关键进程与网络连接快照、相关日志
取证与根除
- 基于 auditd 与系统日志回溯攻击链；用 AIDE/Tripwire 基线比对定位被篡改文件
- 清理后门与持久化：删除异常文件、禁用可疑启动项与服务、撤销异常 sudo 授权
恢复与加固
- 从可信基线重建系统或替换受损二进制，更新到最新补丁，重启前再次校验完整性
- 加固 SSH：禁用 root 直登（PermitRootLogin no）、启用密钥登录、限制可登录用户与来源网段
- 最小权限与强制访问控制：关闭不必要服务与端口，启用 SELinux/AppArmor
- 边界与策略：使用 firewalld/iptables 实施最小暴露面，结合 fail2ban 抑制暴力破解
- 持续监测：部署 OSSEC/Wazuh + Snort/Suricata + auditd + ELK/Graylog 的联动监控与告警

最新问答