安全事件响应核心是快速定位入侵痕迹、阻断攻击路径、保留证据并恢复服务,而非急于重启或重装系统。
发现服务器异常时,别急着重启或重装系统。快速定位入侵痕迹、阻断攻击路径、保留证据并恢复服务,才是安全事件响应的核心。
识别常见入侵迹象
入侵往往留下可观察的线索,重点关注以下几类异常:
- 异常进程与用户:使用 ps aux –forest 查看可疑进程树;用 awk -F: ‘$3 >= 1000 && $3 != 65534 {print $1}’ /etc/passwd 筛选非系统普通用户,核对创建时间与登录记录
- 隐蔽后门文件:检查 /tmp、/dev/shm、/var/tmp 下的可执行文件(如 ls -la /tmp | grep ‘.’),特别注意以点开头、无扩展名或伪装为日志的二进制文件
- 异常网络连接:运行 ss -tulnp 或 netstat -tulnp,比对监听端口是否与业务配置一致;用 lsof -i :端口号 追踪对应进程
- 计划任务与启动项:检查 crontab -l(各用户)、/etc/crontab、/etc/cron.d/ 及 systemctl list-timers –all,留意非常规时间触发的脚本调用
快速隔离与证据保全
响应初期必须防止证据被覆盖或攻击扩大:
- 断开网线或禁用网卡(ip link set eth0 down),避免远程擦除痕迹;若需保持网络取证,改用防火墙临时封锁外联(iptables -P OUTPUT DROP)
- 立即复制内存快照(dd if=/dev/mem of=/mnt/forensic/mem.dump 2>/dev/NULL,需 root 权限和足够空间),再导出关键日志:journalctl –since “2 hours ago” > /mnt/forensic/journal.log
- 对可疑目录做哈希快照:find /tmp /var/tmp /dev/shm -type f -exec sha256sum {} ; > /mnt/forensic/filehash.txt
- 不要修改、删除任何文件,包括“看起来没用”的日志或临时文件——它们可能是攻击链的关键跳板
清除持久化后门
攻击者常通过多种机制维持访问,需逐层排查:
- ssh 后门:检查 /root/.ssh/authorized_keys 和 /etc/ssh/sshd_config 中的 ForceCommand 或异常 AuthorizedKeysCommand 配置
- 内核模块与 LD_PRELOAD:运行 lsmod 查看未签名模块;检查全局环境变量文件(/etc/profile.d/*.sh、/etc/environment)中是否注入 LD_PRELOAD
- systemd 用户服务:执行 systemctl –user list-unit-files –state=enabled,尤其关注 .service 文件是否指向 /tmp 或 /dev/shm
- 替换系统命令:用 which ls 定位二进制路径,再比对 sha256sum /bin/ls 与已知干净镜像的哈希值;检查 /usr/local/bin 是否存在同名命令
加固与验证恢复
清理完成后,不能直接放行流量,需验证系统可信度: