CentOS日志中隐藏的安全威胁与排查要点
一、核心日志源与定位
二、隐蔽威胁清单与日志特征
| 威胁类型 | 常见日志特征 | 重点日志源 |
|---|---|---|
| SSH 暴力破解与凭证滥用 | 同一来源短时大量 “Failed password”;随后出现 “Accepted password”;异常时段成功登录 | /var/log/secure |
| Web 漏洞利用(SQL 注入、路径遍历) | 访问日志含 UNION SELECT、’ OR 1=1 --、…/ 等;错误日志出现 SQL 语法错误或路径遍历报错 | /var/log/httpd/access_log、/var/log/httpd/error_log |
| 后门与可疑脚本植入 | /tmp、/dev/shm 出现新可执行脚本;/etc/passwd、/etc/shadow 等被修改;异常定时任务 | /var/log/secure、/var/log/cron、/var/log/messages |
| 异常登录与账号异常 | 失效账号登录、单账号多 IP 同时在线、非工作时间登录、短时间内多账号对同一主机失败 | /var/log/secure |
| 异常网络连接与横向移动 | 出现未知外连或对可疑端口的连接;监听异常端口 | /var/log/messages、/var/log/kern.log(辅以 netstat/ss) |
| 服务异常启停与提权 | 无干预的服务启动/停止;sudo 执行异常命令;日志中出现异常错误 | /var/log/secure、/var/log/messages |
| 资源滥用与挖矿/勒索迹象 | CPU/内存/磁盘 I/O 异常飙升;出现恶意软件特征字符串;文件被加密或篡改 | /var/log/messages、/var/log/kern.log |
| 日志篡改与日志丢失 | 日志文件被清空或轮转异常;关键事件缺失;文件权限被改动 | /var/log/ 各日志文件 |
| 以上威胁在 CentOS 环境中长期高发,需结合多源日志进行关联分析以提高检出率。 |
三、快速排查命令示例
grep "Failed password" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | head -n 20grep "Accepted password" /var/log/secure | tail -n 50grep -E "(SELECT|UNION|eval\(|base64_decode|'\s*OR\s+1=1|--|\.\./)" /var/log/httpd/access_loggrep -i "sqlmap\|nikto\|wget\|curl\|harvest" /var/log/httpd/access_logss -antp、netstat -tulnpmd5sum /etc/passwd;或使用 AIDE 建立并比对基线last -f /var/log/wtmp;当前登录:who四、检测盲区与加固建议