如何判断Debian系统是否被Exploit
导读:判断 Debian 是否被 Exploit 的实用流程 一 快速自检清单 检查异常登录与权限变更 查看关键日志:/var/log/auth.log、/var/log/syslog、/var/log/kern.log 关注关键词:Fai...
判断 Debian 是否被 Exploit 的实用流程
一 快速自检清单
- 检查异常登录与权限变更
- 查看关键日志:/var/log/auth.log、/var/log/syslog、/var/log/kern.log
- 关注关键词:Failed password、Accepted、root、sudo、session opened/closed
- 示例:
sudo grep "Failed password" /var/log/auth.log | tail -n 50
- 排查可疑进程与资源占用
- 动态观察:
top/htop、vmstat 1 - 网络连接:
ss -tulpen | grep -E '(:22|:80|:443)'、netstat -anp | grep ESTAB - 监听与异常端口:是否有未知服务绑定到高位端口
- 动态观察:
- 检查计划任务与自启动
- 定时任务:
crontab -l -u root、sudo cat /etc/crontab /etc/cron.*/* - 系统服务与自启动:
systemctl list-timers --all、sudo systemctl list-units --type=service --state=running - 可疑脚本:
grep -R "#!/bin/bash" /etc/rc.local /etc/init.d /etc/rc*.d /root 2> /dev/null
- 定时任务:
- 文件完整性与可疑二进制
- 系统完整性:
sudo dpkg --audit、sudo debsums -s - Rootkit/后门:
sudo chkrootkit、sudo rkhunter --check - 入侵检测基线:
sudo lynis audit system
- 系统完整性:
- 网络异常外连
- 抓包与流向:
sudo tcpdump -ni any 'tcp or udp' -vv - 可疑域名/IP:对比威胁情报或已知 C2 列表
- 抓包与流向:
- 外部视角验证
- 端口与服务:
nmap -sV -p- your_server_ip - 漏洞扫描:部署 OpenVAS/GVM 或 Nessus 做合规与漏洞评估
- 端口与服务:
二 关键日志与可疑迹象对照表
| 迹象 | 重点位置 | 快速命令示例 | 处置要点 |
|---|---|---|---|
| 暴力破解 SSH | /var/log/auth.log | `grep “Failed password” /var/log/auth.log | tail -n 20` |
| 提权与异常 sudo | /var/log/auth.log、/var/log/syslog | `grep “sudo:” /var/log/auth.log | tail -n 20` |
| 内核/系统异常 | /var/log/kern.log、dmesg | `dmesg -T | tail -n 50` |
| 可疑定时任务 | /etc/crontab、/etc/cron.*、crontab -l | grep -R "curl|wget|bash" /etc/cron* 2>
/dev/null |
暂停任务、取证样本、清理恶意任务 |
| 未知服务/端口 | ss -tulpen、systemctl |
`ss -tulpen | grep -E '(:22 |
| Rootkit/后门 | 系统二进制、内核模块 | sudo chkrootkit、sudo rkhunter --check |
立即隔离、全盘杀毒、重装受影响组件 |
| 文件篡改 | 关键系统文件 | sudo debsums -s、sudo aide --check |
从可信仓库恢复、加固文件权限 |
| 异常外连 | 网络流量 | sudo tcpdump -ni any 'tcp or udp' -vv |
阻断 C2、取证 PCAP、更新防火墙策略 |
三 自动化与持续监测
- 本地审计与恶意软件巡检
- Lynis:
sudo lynis audit system(系统安全基线) - chkrootkit/rkhunter:
sudo chkrootkit、sudo rkhunter --check - 建议加入 cron 定期执行并落盘日志,便于审计与回溯
- Lynis:
- 漏洞评估
- OpenVAS/GVM:
sudo apt install gvm & & sudo gvm-setup(首次初始化较久) - 商业可选 Nessus,覆盖 CVE 与配置弱点
- OpenVAS/GVM:
- 入侵检测与防御
- 主机/网络 IDS/IPS:Snort、Suricata
- 日志集中与告警:SIEM 方案聚合分析
- 防火墙与访问控制
- 最小化暴露面:
sudo ufw enable或iptables仅放行必要端口 - SSH 加固:禁用口令登录、仅允许密钥、限制可登录用户
- 最小化暴露面:
四 发现后的处置与加固
- 立即隔离
- 断开公网/内网连接:
sudo ip link set dev eth0 down(按实际网卡名调整),避免横向移动
- 断开公网/内网连接:
- 取证与快照
- 保留现场:进程列表
ps auxf、网络连接ss -tulpen、定时任务、可疑文件sha256sum < file> - 内存与磁盘取证(如具备条件):内存镜像、关键目录打包归档
- 保留现场:进程列表
- 清理与恢复
- 终止恶意进程:
sudo pkill -f < 恶意关键词>;清理定时任务与自启动项 - 从可信源恢复被篡改文件:
sudo apt install --reinstall < package> - 系统完整性校验:
sudo debsums -s、sudo aide --check
- 终止恶意进程:
- 修补与加固
- 更新系统:
sudo apt update & & sudo apt upgrade -y - 自动安全更新:
sudo apt install unattended-upgrades & & sudo dpkg-reconfigure unattended-upgrades - SSH 安全:禁用 root 远程、仅密钥登录、限制可登录用户与来源网段
- 更新系统:
- 验证与复盘
- 复扫:
lynis、rkhunter、OpenVAS/GVM - 复盘攻击路径与入口点,修补配置或软件缺陷,完善监控告警与备份策略
- 复扫:
五 10分钟最小检查命令清单
- 登录异常:
grep "Failed password" /var/log/auth.log | tail -n 50 - 当前可疑连接:
ss -tulpen | egrep '(:22|:80|:443)' | head -n 20 - 资源占用异常:
top -b -d 1 -n 20 | head -n 30 - 定时任务:
grep -R "curl\|wget\|bash" /etc/cron* /var/spool/cron 2> /dev/null - 系统完整性:
sudo debsums -s - Rootkit 巡检:
sudo chkrootkit || sudo rkhunter --check - 外部视角:
nmap -sV -p- your_server_ip - 快速审计:
sudo lynis audit system --quick
合规与安全提示
- 进行安全测试或扫描前务必取得明确授权,避免触犯法律与合规要求。
- 涉及生产系统处置时,优先备份关键数据与配置,并在可控窗口内执行变更。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: 如何判断Debian系统是否被Exploit
本文地址: https://pptw.com/jishu/788964.html