linux应急响应
📅 2026/7/7 14:55:52
👁️ 阅读次数
📝 编程学习
一、应急响应前置原则
1.先取证,后操作:不重启、不删进程、不修改日志,避免销毁入侵痕迹;
2.隔离优先:受感染主机立即断网(物理 / 防火墙拉黑 IP),防止横向渗透、数据外传;
3.全程留痕:所有操作记录时间、命令、输出,留存操作日志用于溯源复盘;
4.分层处置:先止损 → 取证 → 溯源 → 清除恶意载荷 → 加固复盘
二、阶段 1:事件确认与隔离
1. 判定告警类型
常见入侵特征:
1.异常外联、对外挖矿 / 木马 C2 端口;
2.陌生高占用 CPU / 内存进程、定时任务;
3.新增未知用户、sudo 提权记录;
4.Web 目录木马、webshell、病毒文件;
5.日志大量爆破、异常登录、root 异地登录
2. 主机隔离(二选一)
1.物理隔离:拔掉网线,彻底阻断网络;
2.逻辑隔离:防火墙封禁本机出站 / 入站,仅保留运维内网管理端口,阻断横向扩散。
# 临时阻断所有出站流量(仅留ssh内网)iptables-POUTPUT DROP iptables-AOUTPUT-s本机IP-d运维管理网段-ptcp--dport22-jACCEPT3. 初步快照取证(不中断恶意进程)
1.系统基础信息
uname-a;cat/etc/os-release;uptime;date2.进程、端口、连接快照
psauxf>ps_bak.txt#进程netstat-antup>net_bak.txt#端口ss-antup>>net_bak.txt#恶意外联lsof-i>lsof_bak.txt#恶意外联3.登录、用户、定时任务
last;lastlog;cat/etc/passwd /etc/shadow>user_bak.txtcrontab-l;ls-l/etc/cron.*>cron_bak.txt4.挂载、启动项
mount;ls-l/etc/rc.d/rc.local /etc/systemd/system/>boot_bak.txt三、阶段 2:全面取证
1.可疑进程排查
无路径、无父进程、隐藏进程
psauxf|grep-E"(defunct|tmp|/dev/shm)"ls-lh/proc/[PID]/exe# 查看进程真实文件路径查找删除仍在运行的恶意程序
lsof|grepdeleted2.恶意文件路径
/tmp、/var/tmp、/dev/shm、/root/.xxx 隐藏目录find/tmp /dev/shm-typef-mtime-1-execls-lh{}\;3.账号与权限提权痕迹
可疑后门账号:grep-v"x:0:"/etc/passwd|grep":0:"(UID0 后门账号) SUID 提权木马:find /-perm-40002>/dev/nullsudo异常记录:grepsudo/var/log/secure4.计划任务(挖矿、持久化后门重灾区)
# 用户级定时任务crontab-l-uroot# 系统全局定时任务ls-l/etc/cron.hourly /etc/cron.daily /etc/cron.weekly /etc/cron.monthly /etc/cron.dcat/etc/crontab# systemd定时器systemctl list-timers四、常见应急及排查方式
服务器挖矿病毒
1.排查占用CUP高的进程
tophtop2.排查恶意的链接
ss-antuplsof-i#外联3333/4444/14444/5555 等矿池端口ss-antup|grep-E"3333|4444|14444"3.找进程
#拿到可疑 PID 后,查看程序真实路径ls-lh/proc/[可疑PID]/exe#查找挖矿关键字进程psaux|grep-E"miner|xmrig|kdevtmpfsi|stratum|sysupdate|ddgs"4.杀掉进程
# 强制终止进程(-9 不可忽略)kill-9[可疑PID]# 批量终止所有相关子进程pkill-f[恶意进程名]pkill-fkdevtmpfsipkill-fxmrigpkill-fminerd5.删除恶意文件
# 删除恶意可执行文件rm-f/path/to/malicious/file# 删除 systemd 服务systemctl stop[恶意服务名]systemctl disable[恶意服务名]rm-f/etc/systemd/system/[恶意服务名].service无法删除或者删除后重启
1.查询病毒进程的PIDtop-c2.通过 systemctl status PID 命令, 查询进程启动流程 systemctl status12343.直接定位到病毒对的具体位置4.删除执行程序 和 相关.service6.定时任务
1.2.3.`/tmp`、`/dev/shm`、`/var/tmp`存在无权限陌生二进制文件4. crontab、systemd 存在定时拉取恶意脚本任务文件排查
ls-alt#查找72小时内新增的文件find/-ctime-2#文件日期、新增文件、可疑/异常文件、最近使用文件、浏览器下载文件/tmp#临时目录find/ *.jsp-perm4777#查找777的权限的文件(可以将文件名进行修改php、py、html、sh等)日志排查
grep"Failed password for root"/var/log/secure|awk'{print $11}'|sort#查看爆破主机的ROOT账号的IPgrep"Accepted "/var/log/secure*|awk'{print $1,$2,$3,$9,$11}'#查看登录成功的日期、用户名及IP/var/run/utmp#有关当前登录用户的信息记录用户
/etc/shadow 密码登陆相关信息uptime查看用户登陆时间 /etc/sudoers 查看sudo用户列表awk-F:'{if($3==0)print $1}'/etc/passwd 查看UID为0的帐号 lastb 用户错误的登录列表
编程学习
技术分享
实战经验