CentOS系统入侵溯源取证基础操作（linux 入侵检测）

moboyou 2025-07-14 18:13 11 浏览

在Centos系统运维过程中，入侵事件时有发生，入侵者可能会采取各种手段隐藏其入侵痕迹，给系统安全带来严重威胁。作为运维人员，需要掌握有效的溯源方法，以便快速发现入侵行为、定位入侵源头并采取相应的应对措施，保障系统的安全性和稳定性。

运维人员需要具备相应的系统安全分析能力，包括日志分析、文件完整性检查、网络流量分析、恶意代码检测等方面的专业技能，能够运用多种工具和技术手段对入侵行为进行全面溯源，同时能够根据溯源结果制定针对性的安全策略和防护措施。

快速取证检查项

1. 系统状态快照

# 获取系统基本信息
uname -a > /tmp/system_info.txt
ip addr show >> /tmp/system_info.txt
df -h >> /tmp/system_info.txt

# 内存/进程状态保存
ps auxef > /tmp/process_snapshot.txt
netstat -tulnp > /tmp/network_snapshot.txt

2. 关键证据固化

# 内存镜像采集（需root）
mkdir -p /evidence && cd /evidence
yum install -y lime-forensics 2>/dev/null || git clone https://github.com/504ensicsLabs/LiME
insmod ./lime-forensics/src/lime.ko "path=/evidence/memory.raw format=raw"

# 磁盘关键目录备份
tar czvf /evidence/system_logs.tar.gz /var/log
tar czvf /evidence/config_backup.tar.gz /etc /root/.ssh

详细排查流程

1. 用户与认证审计

# 检查异常用户
awk -F: '($3 < 1000) {print}' /etc/passwd
lastb | awk '{print $3}' | sort | uniq -c | sort -nr

# SSH登录分析
grep -E 'Accepted|Failed' /var/log/secure | awk '{print $1,$3,$11}' | sort | uniq -c

2. 进程与网络分析

# 隐藏进程检测（对比ps与/proc）
ps -eo pid | sort -n > /tmp/ps_pids.txt
ls /proc | grep '^[0-9]' | sort -n > /tmp/proc_pids.txt
diff /tmp/ps_pids.txt /tmp/proc_pids.txt

# 异常外联检测
ss -antp | awk '{print $5}' | cut -d: -f1 | grep -v 127.0.0.1 | sort | uniq -c
lsof -i | grep -E 'ESTABLISHED|LISTEN'

3. 文件系统排查

# 查找近期修改文件
find / -type f -mtime -3 -exec ls -l {} \; 2>/dev/null | grep -Ev '/proc|/sys|/dev'

# RPM包完整性验证
rpm -Va > /tmp/rpm_verify.log
grep -E '^..5' /tmp/rpm_verify.log  # 关注MD5变化的文件

# Webshell检测
find /var/www/ -type f -name "*.php" -exec grep -lF 'eval(' {} \; 2>/dev/null

4. 持久化机制检查

# 定时任务排查
ls -al /etc/cron.*/* /var/spool/cron/
systemctl list-timers --all

# 动态库注入检测
ldd `which sshd` | grep -vE 'linux-vdso|libc.so'
grep -r 'LD_PRELOAD' /etc/ /home/*/ 2>/dev/null

5. 日志深度分析

# 日志时间线重建
journalctl --since "2025-03-01" --until "2025-03-02" --no-pager > /tmp/journal_full.log

# 提权操作检测
grep -E 'sudo:|su:' /var/log/auth.log | grep -v 'session opened'

溯源结论与报告

1. 攻击路径还原

入侵入口：如SSH弱密码、Web漏洞利用
横向移动：内网渗透路径
持久化方式：如cron后门、服务劫持
数据泄露：外联IP/域名、泄露文件类型

2. 影响范围评估

受影响系统：
（服务器列表/网络分段）
泄露数据类型：
（客户信息/代码/凭证等）
业务影响等级：
高危中危低危

3. 修复建议

紧急处置重置所有受影响账户密码吊销泄露的SSL证书

系统加固

# 示例：SSH加固
sed -i 's/#PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config
echo "AllowUsers admin" >> /etc/ssh/sshd_config
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source ip="攻击IP" drop'

监控增强
通过部署监控工具及时发现攻击行为

证据链保存

原始数据归档

tar czvf /evidence/forensic_$(date +%Y%m%d).tar.gz \
/tmp/system_info.txt \
/evidence/memory.raw \
/evidence/*.log

哈希校验记录

sha256sum /evidence/* > /evidence/checksums.sha256

入侵攻击手段具有高隐蔽性，入侵者常通过删除日志、篡改时间戳、卸载监控工具等手段掩盖攻击行为。传统文件扫描和日志分析可能失效，需结合进程行为分析、内存取证、网络流量深度检测等综合手段进行排查，结合多种证据来源进行交叉验证。

在事件响应黄金时间线1小时内，需要完成基本信息收集、用户登录检查、进程网络、计划任务、启动项、文件系统、日志分析、历史命令、内核模块、时间线、内存取证等，还需要逐一对结果进行验证。为预防此类行为，管理和技能并用，构建"事前防御-事中监控-事后取证"的全生命周期防护体系，动态的调整安全防护措施，保障系统安全。

php源码自动采集

上一篇：CentOS7下搭建日志采集分析系统LogAnalyzer
下一篇：苹果cms大橙子vfed 5.0去授权完美破解主题模板

CentOS系统入侵溯源取证基础操作（linux 入侵检测）

快速取证检查项

1. 系统状态快照

2. 关键证据固化

详细排查流程

1. 用户与认证审计

2. 进程与网络分析

3. 文件系统排查

4. 持久化机制检查

5. 日志深度分析

溯源结论与报告

1. 攻击路径还原

2. 影响范围评估

3. 修复建议

证据链保存

相关推荐

Linux环境中查看Oracle错误和警告日志信息

絮语----工作四年的碎碎念

SQL 中的 (+)用法

oracle常见问题处理

MYSQL经典面试题汇总

医院信息系统突发应急演练记录

Windows 11:已知问题和已解决问题列表(更新时间:2022年1月)

最全面的IBMS系统集成系统技术规格书，赶紧收藏起来!

苹果停止更新Windows版QuickTime!

Linux下开源BI工具Metabase本地化安装及配置详解