基础信息收集(快速建立排查基线)
1.系统状态快照
执行
uname -a获取内核版本及系统架构,识别未修复的高危漏洞(如Dirty Pipe内核提权漏洞CVE-2022-0847)。通过
top或htop监控实时进程,重点排查异常CPU/内存占用(如挖矿病毒常伪装为kworker进程)。
2.网络连接分析
使用
netstat -tunap或ss -tunp检查异常ESTABLISHED连接(如外联C2服务器的53、80、443、8080等端口)。
结合
lsof -i :端口号定位进程路径,排查/tmp/或/dev/shm/下的恶意二进制文件。
用户与权限排查(攻击者入侵入口)
1.异常账户检测
检查 /etc/passwd与 /etc/shadow:
使用
awk -F: '$3==0 {print $1}' /etc/passwd列出所有UID为0的超级用户(含隐藏克隆账户)。对比
grep -v '/sbin/nologin\|/bin/false' /etc/passwd与历史登录记录lastlog,识别未授权可登录账户。
排查sudo权限:grep -E 'ALL=\(ALL\)' /etc/sudoers检查非管理员用户的越权配置。
2.登录行为审计
分析认证日志:
Ubuntu/Debian:
grep 'Failed password' /var/log/auth.log(暴力破解痕迹)。CentOS/RHEL:
grep 'Accepted' /var/log/secure(成功登录IP溯源)。
进程与恶意活动追踪
1.进程深度分析
排查可疑进程树:
pstree -p查看进程父子关系,定位fork炸弹(递归fork耗尽系统资源的DoS攻击)的恶意分支。检查进程文件映射:
ls -l /proc/<PID>/exe验证进程真实路径(如/usr/bin/sshd被篡改为/tmp/.sshd)。
2.计划任务与自启动项
扫描定时任务:
用户级:
crontab -l及/var/spool/cron/目录。系统级:检查
/etc/cron.d/、/etc/cron.hourly/等目录中的恶意脚本(如下载矿机的update.sh)。
系统服务排查:systemctl list-unit-files --state=enabled列出所有开机自启服务。
文件系统与日志取证
1.关键文件篡改检测
使用 stat对比文件修改时间:若内容修改时间 (mtime) 晚于元数据修改时间 (ctime)(攻击者伪造时间特征),标记为可疑。
重点扫描目录:
临时目录:
/tmp/、/dev/shm/(无文件攻击残留)。Web根目录:
/var/www/查找加密Webshell(特征:eval(gzinflate(base64_decode()。
2.历史命令分析
root 用户:
cat /root/.bash_history普通用户:
cat /home/<用户名>/.bash_history
高危命令特征:wget/curl 下载远程脚本、chmod +x 赋予执行权限、tar/zip 打包敏感数据、rm 删除文件。
注意:攻击者常清空历史记录(
history -c),需交叉分析/var/log/下的原始日志。
工具辅助自动化响应
1.专用工具
司稽(Whoamifuck):
一键式检测:./whoamifuck.sh -a输出全量报告(含用户、进程、端口、Webshell扫描)。
支持导出HTML格式报告:./whoamifuck.sh -m report.html。
LiME内存取证:
提取内存镜像:insmod lime.ko "path=/tmp/memdump.lime"捕获无文件攻击的内存驻留代码。
rkhunter反Rootkit:
扫描隐藏内核模块:rkhunter --check --sk检测 /lib/modules/下的恶意驱动。
2.网络层深度检测
tcpdump抓包分析:
# 捕获DNS隐蔽隧道(长域名请求)
tcpdump -i eth0 'udp port 53 and len > 100' -w dns_tunnel.pcap
# 检测C2心跳包(固定时间间隔ICMP)
tcpdump -n 'icmp[icmptype]==8' | awk '{print $1}' | uniq -c关键响应动作(按优先级执行)
1.立即隔离
断网阻断:
iptables -A OUTPUT -d <C2_IP> -j DROP或直接禁用网卡ip link set eth0 down。进程冻结:
kill -STOP <PID>暂停恶意进程(避免触发自毁)。
2.根除与恢复
清除持久化:删除恶意cron任务、
systemctl disable禁用恶意服务。漏洞修复:针对入侵路径打补丁(如SSH弱口令 → 启用密钥认证并关闭密码登录)。
备份还原:从干净备份恢复
/bin/、/usr/bin/等关键目录(避免二进制替换后门)。
3.加固措施
文件防篡改:
chattr +i /etc/passwd锁定关键文件。权限最小化:
find / -perm -4000 -exec ls -ld {} \;检查SUID文件,移除非必要权限。