1. 立即隔离受影响系统
发现系统可能存在exploit(漏洞利用)时,第一时间断开网络连接(物理断开网线或通过防火墙禁用外网访问),防止攻击者进一步控制服务器、窃取数据或扩散恶意程序。
2. 终止可疑进程与服务
top、htop或ps -ef命令查看系统进程,重点关注高CPU/内存占用、名称陌生(如包含随机字符、无数字版本号)或非系统关键进程(如伪装成syslogd、crond的恶意程序)。kill -9 <PID>强制终止进程。ls -l /proc/<PID>/exe),确认其为恶意文件后删除。3. 清理恶意文件与目录
/tmp、/var/tmp、/dev/shm等临时目录,或隐藏目录如.config、.ssh2),使用rm -rf命令彻底删除。/bin、/sbin、/usr/bin、/usr/sbin)中的可执行文件,若发现文件修改时间异常(如近期被修改且非系统更新所致)或签名无效的文件,需核实后删除。4. 删除恶意定时任务
crontab -l,删除包含可疑命令(如下载脚本、执行远程代码)的任务。cat /etc/crontab、ls /etc/cron.d/、cat /etc/cron.daily/*等,删除异常任务脚本。5. 禁用/删除恶意服务
systemctl list-units --type=service查看开机自启服务,识别名称陌生、描述模糊或非系统必需的服务(如miner.service、backdoor.service)。systemctl stop <服务名>;禁用开机自启:systemctl disable <服务名>;删除服务文件(若有):rm -rf /etc/systemd/system/<服务名>.service。6. 修复系统与软件漏洞
sudo yum update命令安装最新安全补丁,修复已知漏洞(如内核漏洞、服务程序漏洞)。7. 重置账户与权限
passwd <用户名>命令修改root、管理员及普通用户的密码,设置强密码(包含大小写字母、数字、特殊字符,长度≥12位)。/etc/passwd文件,删除无业务需求的用户(如test、guest);若发现可疑账户(如UID=0的非root账户),使用userdel -r <用户名>彻底删除。/etc/ssh/sshd_config,设置PermitRootLogin no(禁止root远程登录)、AllowUsers <可信用户名>(仅允许指定用户登录);重启SSH服务:systemctl restart sshd。8. 加强系统安全配置
firewalld限制入站流量,仅开放必要端口(如SSH的22端口、Web服务的80/443端口):firewall-cmd --permanent --add-service=ssh
firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --reload
getenforce),若为Disabled,编辑/etc/selinux/config将SELINUX=disabled改为SELINUX=enforcing,重启系统生效。systemctl disable <服务名>关闭无用服务(如FTP、Telnet、Bluetoooth),减少攻击面。9. 安装与配置安全工具
sudo yum install epel-release -y
sudo yum install clamav clamav-update -y
sudo systemctl start clamav-freshclam
sudo systemctl enable clamav-freshclam
sudo clamscan -r / # 全盘扫描
sudo yum install fail2ban -y
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
logwatch或ELK Stack集中收集、分析系统日志(如/var/log/secure、/var/log/messages),及时发现异常登录、权限提升等行为。10. 定期审计与备份
rsync、tar或专业备份工具(如Veeam)备份重要数据(如网站文件、数据库),备份文件存储在离线介质(如移动硬盘)或异地云存储中,确保数据可恢复。
