如何检测centos系统exploit攻击

CentOS 系统 Exploit 攻击检测与处置

一 基线核查与系统清点

• 版本与内核：查看发行版与内核信息，确认是否仍在受支持周期。命令：cat /etc/redhat-release、uname -a。
• 补丁与更新：核对已安装更新与内核是否最新。命令：yum list installed | grep kernel、rpm -qa | grep patch、yum updateinfo summary。
• 运行服务与端口：列出并关闭不必要服务与高危端口。命令：systemctl list-unit-files --state=enabled、systemctl disable <svc>、ss -tulpen。
• 防火墙与访问控制：仅放行必要来源与端口。命令：firewall-cmd --list-all、firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="1.2.3.4" port port="22" protocol="tcp" accept' && firewall-cmd --reload；必要时使用 /etc/hosts.allow 与 /etc/hosts.deny 做源地址限制。
• 安全基线：启用并验证 SELinux 状态（getenforce、sestatus），检查关键配置文件权限（如 /etc/passwd、/etc/shadow、/etc/ssh/sshd_config）。

二 日志与审计重点

• 认证与会话：/var/log/secure、/var/log/messages 检索异常登录（失败次数、非常规时间、来源 IP）、sudo 提权、su 切换等。命令：grep "Failed password" /var/log/secure、grep "Accepted" /var/log/secure | tail -n 50。
• 命令审计：确保 auditd 运行并配置关键审计规则（如监控 /bin/su、/usr/bin/sudo、敏感目录写入）。命令：systemctl status auditd、auditctl -l、ausearch -f /var/log/audit/audit.log。
• 完整性校验：检查关键系统文件是否被篡改。命令：ls -la /etc/passwd /etc/shadow /etc/ssh/sshd_config、pwck、rpm -V <pkg>；建议部署 AIDE/Tripwire 做持续基线比对。
• 登录与历史：排查可疑账户与历史命令。命令：cat /etc/passwd | grep "/bin/bash"、last -a、history | tail -n 100、crontab -l -u <user>。

三 可疑进程与网络连接排查

• 资源异常：用 top/htop、vmstat 1 10、iotop 定位异常占用进程。
• 进程与文件关联：用 ps -ef、lsof -p <pid>、ls -la /proc/<pid>/exe 检查可疑可执行文件路径、启动参数、打开的敏感文件与网络连接。
• 网络连接与抓包：用 ss -tulpen、netstat -antupl 发现异常监听与对外连接；必要时 tcpdump -ni any 'tcp port 22 or 80 or 443' -w /tmp/cap.pcap 留存取证。
• 持久化与后门：检查定时任务（/etc/crontab、/var/spool/cron/*、systemctl list-timers）、开机项（/etc/rc.local、/etc/init.d/、systemctl list-unit-files --type=service）、SSH 授权密钥（~/.ssh/authorized_keys 全系统排查）、异常 SUID/SGID 文件（find / -type f \( -perm -4000 -o -perm -2000 \) -ls 2>/dev/null）。

四 漏洞与恶意软件检测工具

• 漏洞评估与配置审计：
  • 漏洞扫描：Nessus、OpenVAS 定期全量扫描；
  • 本地提权风险：Linux-Exploit-Suggester；
  • 系统加固审计：Lynis。
• 恶意软件与 Rootkit：
  • 反病毒：ClamAV；
  • Rootkit 检测：chkrootkit、rkhunter。
• 入侵检测与防御：
  • 主机 IDS/IPS：OSSEC；
  • 网络 IDS/IPS：Suricata/Snort（配置接口、规则集与告警，定期更新签名库）。
• 文件完整性监控：AIDE/Tripwire 建立基线并告警未授权变更。

五 处置与加固清单

• 隔离与取证：第一时间将受疑主机从生产网络隔离；保留关键日志与内存/磁盘镜像；对可疑文件计算哈希（如 sha256sum <file>）并留存。
• 阻断与止血：封禁攻击源 IP（firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="x.x.x.x" drop' && firewall-cmd --reload）；暂停可疑服务；撤销可疑 SSH 密钥与临时账户。
• 修复与加固：
  • 系统与应用补丁：yum update -y；
  • SSH 安全：禁用 root 登录、限制可登录用户、更改端口、启用密钥登录、限制源 IP；
  • 最小权限：使用 sudo 细粒度授权，禁用不必要服务与端口；
  • 强制访问控制：启用并保持 SELinux 为 Enforcing，分析 audit.log 中的拒绝事件并优化策略；
  • 口令与多因素：强口令策略、口令轮换、关键账户启用 MFA。
• 持续监测与演练：部署/升级 OSSEC/Suricata、集中日志分析（如 ELK）、定期运行 Lynis/AIDE 基线复核；建立应急预案与演练，定期红队/渗透测试验证防护有效性。