如何检测Ubuntu Exploit攻击

Ubuntu Exploit攻击检测与处置

一 快速排查流程

• 隔离与取证：优先将疑似受感染主机从网络中断开，避免横向扩散；保留现场（内存、进程、网络连接、关键日志）以便后续取证。
• 系统完整性快速检查：
  • 内核与系统信息：uname -a、uptime、who、last -x | head。
  • 可疑进程与隐藏端口：ps auxf、top -b -d 1、ss -tulpen、lsof -i -P -n。
  • 网络抓包与回溯：sudo tcpdump -i any -w capture.pcap（必要时配合 Wireshark 分析）。
• 日志与认证异常：重点查看 /var/log/auth.log（SSH 登录）、/var/log/syslog、/var/log/kern.log，检索失败登录、异常 sudo、可疑 cron 执行等。
• 恶意软件与后门排查：使用 chkrootkit、rkhunter、unhide 检测 rootkit、后门与隐藏进程/端口。
• 文件完整性：用 Tripwire/AIDE 对比基线，发现被篡改的系统/应用文件。
• 漏洞面与配置风险：用 Lynis 做安全基线审计；用 Nessus/OpenVAS 做漏洞扫描；用 Nmap 验证暴露面与服务指纹。
• 持续监测：部署 OSSEC/Wazuh 做主机行为监控与文件完整性告警；部署 Snort/Suricata 做网络层入侵检测。

二 主机侧深度检测

• Rootkit 与后门：
  • 安装与运行：sudo apt-get install chkrootkit rkhunter unhide；sudo rkhunter --update && sudo rkhunter -c，日志在 /var/log/rkhunter.log。
  • 对抗被感染系统命令：用只读介质挂载干净系统目录，通过 chkrootkit -p /cdrom/bin:/cdrom/sbin:/cdrom/usr/bin 或 rkhunter 的 BINDIR 指定外部命令路径，降低误报/漏报。
• 提权与持久化高风险点：
  • SUID/SGID 滥用：find / -perm -4000 -o -perm -2000 2>/dev/null | grep -Ev '/snap|/proc'，核对非必要 SUID 并移除。
  • 定时任务与系统服务：crontab -l -u root、grep -R "CRON" /etc 2>/dev/null、systemctl list-timers --all、grep -R "ExecStart=" /etc/systemd/。
  • 可疑内核模块：lsmod、modinfo <module>。
  • 自动化枚举与行为监控：
    • 本地提权面评估：curl -L https://linpeas.sh | bash（或下载后运行），覆盖内核/配置/敏感文件等维度。
    • 内核漏洞匹配：linux-exploit-suggester.sh -k $(uname -r)（仅用于授权测试与自查）。
    • 无文件/短时进程与可疑定时：pspy64 -p -i 1000 观察进程与计划任务触发。
• 文件完整性与篡改告警：
  • 基线建立与校验：Tripwire/AIDE 初始化基线后定期校验，关注 /etc/passwd、/etc/shadow、/etc/sudoers、/usr/bin/sudo、/bin/bash 等关键文件。

三 网络侧与日志检测

• 网络入侵检测（NIDS）：
  • Snort 规则示例（本地测试）：在 /etc/snort/rules/local.rules 添加
    alert icmp any any -> $HOME_NET any (msg:"ICMP Test detected"; classtype:icmpevent; sid:10000001; rev:001;)
    启动：sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i <iface>，告警与日志位于 /var/log/snort。
  • 进阶可结合 Barnyard2 入库、BASE 可视化展示。
• 主机与网络行为监控：
  • OSSEC/Wazuh 部署为本地/集中式 HIDS，监控登录、提权、文件完整性、命令执行等并生成告警。
  • 流量分析：tcpdump/Wireshark 抓包定位异常外连、可疑载荷与协议异常。

四 漏洞面与暴露面核查

• 系统与软件更新：sudo apt update && sudo apt full-upgrade -y，启用无人值守安全更新（如 unattended-upgrades）。
• 漏洞扫描与合规审计：
  • 漏洞评估：Nessus/OpenVAS 全量或定向扫描，优先修复 Critical/High 级别漏洞。
  • 配置基线：Lynis 审计系统加固项，修正不安全配置。
  • 服务暴露：Nmap 扫描开放端口与服务指纹，收敛攻击面并关闭不必要服务。
• 防火墙与访问控制：启用 ufw 或等效防火墙，仅放行业务必需端口与来源。

五 处置与恢复

• 立即隔离与止血：断开网络或限制其出站；封禁可疑来源 IP（如 ufw deny from <IP> 或边界防火墙策略）。
• 定位与取证：结合日志、进程、网络连接、抓包与完整性基线，梳理入侵时间线与影响范围；保留关键证据。
• 修复与加固：
  • 应用安全补丁（内核/中间件/应用）；清理异常 SUID、可疑 cron、服务与内核模块；修复被篡改文件。
  • 强化访问控制与最小权限；开启 fail2ban 抑制暴力破解；完善备份与恢复演练。
• 恢复与验证：从干净备份恢复业务；在隔离环境复核系统完整性、漏洞与基线；逐步恢复对外服务并持续监测。
• 合规与通报：如涉及敏感数据或对外服务，按规定通知相关方并上报事件。