一、CentOS Exploit检测步骤
系统日志审查
检查/var/log/secure(SSH登录日志)、/var/log/messages(系统核心日志)等文件,重点关注异常登录尝试(如多次失败的root登录)、权限提升行为(如sudo滥用)或可疑进程启动记录。可使用less、grep命令筛选关键信息,例如grep "Failed password" /var/log/secure。
网络流量监控
使用tcpdump(命令行)或Wireshark(图形化)捕获网络流量,识别异常连接(如非必要的高危端口(3333、4444等常见挖矿端口)、大量外联至陌生IP的流量)。例如tcpdump -i eth0 port 3333 -nn可监控3333端口的流量。
系统完整性检查
Tripwire(需提前安装配置)监控关键系统文件(如/bin、/sbin、/etc目录)的未授权更改,生成完整性报告;/etc/passwd、/etc/shadow应为644、600,属主为root),可使用ls -la命令查看。漏洞扫描工具扫描
使用专业工具识别已知漏洞:
nmap -sV -O <目标IP>),辅助识别潜在攻击面;trivy fs --security-checks vuln /扫描本地文件系统)。账户与SELinux审计
/etc/passwd文件,检查是否有未授权账户(如新增的test账户)或异常UID/GID(如UID=0的非root账户);使用pwck命令验证账户完整性(如pwck /etc/passwd);getenforce),确保其为Enforcing模式(默认开启),防止未授权操作;若为Permissive,可通过setenforce 1切换。二、CentOS Exploit清除步骤
紧急断网与权限控制
发现exploit迹象后,立即断开服务器网络连接(拔网线或禁用网卡),防止攻击者进一步控制或数据泄露;修改所有管理员账户密码(passwd root、passwd admin),设置强密码(包含大小写字母、数字、特殊字符,长度≥8位)。
终止恶意进程与服务
top、htop或ps aux | grep -E 'miner|cryptonight|xmrig'(针对挖矿木马)查找高CPU占用的可疑进程,记录PID;kill -9 <PID>强制终止进程;systemctl status <服务名>检查可疑服务(如名为kworker、syslogd的非系统服务),用systemctl stop <服务名>停止服务,systemctl disable <服务名>禁用开机自启。删除恶意文件与定时任务
lsof -p <PID>查看进程打开的文件)定位恶意文件(如/tmp/minerd、/var/tmp/xmrig),用rm -rf彻底删除;crontab -l(当前用户)、cat /etc/crontab(系统级)、ls /etc/cron.*/*(所有cron目录),删除可疑条目(如包含wget http://malicious.com/script.sh的任务)。修复系统漏洞与更新补丁
sudo yum update -y),修复已知漏洞(如内核漏洞、软件安全补丁);加强系统安全配置
/etc/ssh/sshd_config,设置PermitRootLogin no),使用普通用户+sudo提升权限;telnet、ftp,systemctl stop telnet.socket、systemctl disable telnet.socket),减少攻击面;firewalld或iptables):允许仅必要端口(如SSH的22端口、HTTP的80端口),封禁异常IP(iptables -I INPUT -s <异常IP> -j DROP);setenforce 1),并定期检查SELinux日志(/var/log/audit/audit.log),调整策略防止未授权访问。后续监控与预防
/etc、/home、数据库),使用rsync或专业备份工具(如Veeam),存储至异地或云存储;logwatch或ELK Stack),设置告警规则(如异常登录、进程崩溃),及时发现潜在威胁。