linux服务器被入侵后需系统化排查:先隔离保全内存与日志证据,再核查用户权限、进程网络、启动项及文件完整性,通过时间线构建与交叉验证追溯攻击链。
Linux服务器被入侵后,快速、系统化地排查入侵痕迹是止损和溯源的关键。重点不是“找一个后门”,而是构建时间线、识别异常行为、验证系统完整性,避免遗漏隐蔽持久化手段。
一、立即隔离与证据保全
发现入侵迹象时,切忌直接关机或重启——这会丢失内存中关键线索(如进程、网络连接、rootkit驻留)。应优先做以下操作:
- 使用静态取证工具(如
ps、netstat、lsof)快速记录当前状态,输出重定向到安全位置(如挂载的只读U盘或远程syslog); - 用
date; uptime; last -a; w确认系统运行时间与最近登录情况; - 执行
ls -alt /var/log/检查日志文件是否被清空或篡改(注意修改时间异常、大小突变为0); - 若条件允许,对内存做dd镜像(如
dd if=/dev/mem of=/mnt/safe/mem.dump 2>/dev/null),后续用Volatility分析; - 断开非必要网络接口(保留一个用于取证通信),禁用SSH密码登录(改用密钥+2FA),暂停定时任务(
systemctl stop cron)。
二、用户与权限异常核查
攻击者常新建用户、提权或劫持合法账户。需逐层比对可信基线:
- 检查
/etc/passwd新增或UID=0的非常规账户:awk -F: '$3==0 {print}' /etc/passwd; - 比对
/etc/shadow中密码哈希更新时间(stat /etc/shadow),查看是否有近期无操作记录却密码变更的账号; - 运行
sudo -l -n(无需密码执行)和getent group sudo,确认提权组成员是否异常; - 检查
~/.bash_history、/root/.bash_history及/var/log/auth.log中的可疑命令(如curl http://...|bash、chmod u+s /bin/bash); - 用
find / -type f -perm -4000 -o -perm -2000 2>/dev/null查找SUID/SGID文件,重点关注非系统路径下的可执行文件。
三、进程、网络与启动项深度扫描
隐藏进程、异常监听端口、伪装服务是常见落脚点,需交叉验证:
- 对比
ps auxf与ps -eo pid,ppid,comm,args --forest,观察是否存在PPID异常(如父进程为1但非systemd)、命令行被空格/不可见字符混淆的进程; - 用
netstat -tulnp+ss -tulnp双查监听端口,特别关注非标准端口(如31337、6666)及未关联进程的监听(可能被rootkit隐藏); - 检查
/proc/[0-9]*/cmdline中进程真实参数(部分恶意进程会伪造ps显示名); - 扫描开机自启项:
systemctl list-unit-files --state=enabled、ls /etc/init.d/ /etc/rc*.d/、crontab -l(所有用户)、cat /var/spool/cron/* 2>/dev/null; - 检查内核模块:
lsmod对比正常基线,重点关注名称可疑(如hide、root、nf_前缀)或作者为空的模块。
四、文件系统与完整性校验
攻击者会替换二进制、注入动态库、写入Webshell或加密文件。需结合哈希比对与行为分析:
- 用
rkhunter --check或chkrootkit快速扫描已知rootkit特征(注意:二者均可能被绕过,仅作辅助); - 校验关键系统文件哈希:
rpm -Va(RHEL/CentOS)或dpkg --verify(Debian/Ubuntu),重点关注/bin/ls、/usr/bin/wget、/sbin/ifconfig等易被替换的命令; - 搜索Web目录下异常文件:
find /var/www -name "*.php" -size -10k -mtime -7(结合修改时间与大小过滤); - 检查
/tmp、/dev/shm、/var/tmp中隐藏文件(含.开头、空格结尾、Unicode名称):find /tmp -name ".*" -o -name "* *" -ls; - 用
strings抽查可疑二进制(如/usr/bin/.sshd)是否含HTTP请求、C2域名或base64片段。
排查不是单次动作,而是一个“假设—验证—排除”的循环。每发现一个异常点,都要反向追溯来源(谁创建?何时?通过什么命令?有无日志?)。没有完美工具能覆盖所有新型攻击,但扎实的系统知识+严谨的操作顺序,是守住最后一道防线的核心。
