首页主机资讯Linux exploit怎样检测入侵

Linux exploit怎样检测入侵

时间2025-11-24 08:49:34发布访客分类主机资讯浏览1345
导读:Linux Exploit 入侵检测实操指南 一 快速排查清单 账户与权限异常 检查是否存在 UID=0 的异常账户:awk -F: '$3==0 {print $1}' /etc/passwd 排查空口令或弱口令:awk -F: 'l...

Linux Exploit 入侵检测实操指南

一 快速排查清单

  • 账户与权限异常
    • 检查是否存在 UID=0 的异常账户:awk -F: '$3==0 { print $1} ' /etc/passwd
    • 排查空口令或弱口令:awk -F: 'length($2)==0 { print $1} ' /etc/shadow
    • 查看最近登录与当前登录:last -awhow
  • 进程与守护进程
    • 列出可疑进程:ps -aef | egrep '^UID|/tmp|\./',关注非常规路径、隐藏进程
    • 检查守护进程配置:cat /etc/inetd.conf /etc/xinetd.d/* 2> /dev/null | grep -v '^#'
  • 网络连接与监听
    • 查看连接与端口:ss -tulpennetstat -anp(若被替换可用 ss 替代)
    • 检查路由与网卡:ip routeifconfig -a
  • 日志与审计
    • 认证与系统日志:/var/log/auth.log/var/log/secure/var/log/syslog/var/log/kern.log
    • 登录历史与系统状态:last -alastloguptime
  • 文件完整性与可疑文件
    • 全局查找异常文件:find / -name core -exec ls -l { } \; 2> /dev/null
    • 检查后门常见文件:find / -name .rhosts -o -name .forward 2> /dev/null
    • 包管理器完整性(RHEL/CentOS):rpm -Va | grep '^..5'
  • 内核与模块
    • 查看已加载模块:lsmod;排查异常内核模块或隐藏进程迹象

二 主机与网络检测工具

  • 主机型 IDS/完整性
    • OSSEC/Wazuh:日志分析、FIM、rootkit 检测、主动响应(如自动封禁暴力破解 IP)
    • AIDE/Tripwire:关键文件哈希基线比对,发现被篡改的二进制、配置与启动脚本
  • 网络型 IDS/IPS
    • Snort/Suricata:基于签名的网络攻击检测(溢出、扫描、Web 攻击等),可联动阻断
    • PSAD:与 iptables 联动,对端口扫描与恶意流量进行告警与自动处置
  • 审计与日志中枢
    • auditd:细粒度系统调用与关键文件监控(如 /etc/passwd/etc/shadow/etc/sudoers
    • ELK/Graylog:集中化日志存储、检索与可视化,便于关联分析

三 可疑迹象与定位方法

  • 日志异常
    • 多次失败的 SSH 登录、非常规时间登录、来自异常来源的 sudo 提权、auth.log/secure 被清空或 syslog/rsyslogd 异常退出
    • 取证技巧:若日志文件被删除但进程仍持有句柄,可通过 /proc/< PID> /fd/< N> 恢复查看(如 /proc/< rsyslogd_PID> /fd/4
  • 进程与守护进程异常
    • inetd 被异常参数调用(如 inetd -s /tmp/.xxx)或用其启动可疑程序
    • ps 输出被篡改导致“看不见”的后门进程(需结合文件完整性与内核模块检查)
  • 网络异常
    • 出现与业务无关的对外连接、连接到可疑域名/IP、异常端口监听(尤其非常用高位端口)
  • 文件与系统完整性
    • rpm -Va 显示关键系统文件校验失败;find / -name core 发现异常崩溃文件
    • 发现 .rhosts.forward 等后门文件或异常 SUID/SGID 文件

四 发现后的处置与加固

  • 立即隔离与止血
    • 临时下线受感染主机或限制其网络访问(封禁源/目的 IP、关闭高危端口)
    • 保留现场:内存与磁盘镜像、关键进程与网络连接快照、相关日志
  • 取证与根除
    • 基于 auditd 与系统日志回溯攻击链;用 AIDE/Tripwire 基线比对定位被篡改文件
    • 清理后门与持久化:删除异常文件、禁用可疑启动项与服务、撤销异常 sudo 授权
  • 恢复与加固
    • 从可信基线重建系统或替换受损二进制,更新到最新补丁,重启前再次校验完整性
    • 加固 SSH:禁用 root 直登(PermitRootLogin no)、启用密钥登录、限制可登录用户与来源网段
    • 最小权限与强制访问控制:关闭不必要服务与端口,启用 SELinux/AppArmor
    • 边界与策略:使用 firewalld/iptables 实施最小暴露面,结合 fail2ban 抑制暴力破解
    • 持续监测:部署 OSSEC/Wazuh + Snort/Suricata + auditd + ELK/Graylog 的联动监控与告警

声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!


若转载请注明出处: Linux exploit怎样检测入侵
本文地址: https://pptw.com/jishu/754120.html
Linux exploit如何应对威胁 Linux exploit如何保护数据

游客 回复需填写必要信息