Ubuntu日志中隐藏的安全威胁与排查要点
一 核心日志与定位
二 常见隐藏威胁与日志特征
| 威胁类型 | 典型日志线索 | 排查命令示例 |
|---|---|---|
| SSH 暴力破解与异常登录 | auth.log 出现多次“Failed password”“Invalid user”,随后出现“Accepted password”“session opened” | grep “Failed password” /var/log/auth.log;grep “Accepted” /var/log/auth.log |
| Web 漏洞利用 | access.log 含“UNION SELECT”“’ OR 1=1 --”“…/”“/etc/passwd”等;error.log 大量 4xx/5xx | grep -E "(SELECT |
| 权限提升与后门驻留 | auth.log 出现 sudo 成功且来源异常;/tmp、/dev/shm 出现可疑脚本;/etc/passwd、/etc/shadow 被修改 | grep “sudo.*session opened” /var/log/auth.log;ls -la /tmp /dev/shm;md5sum /etc/passwd |
| 异常网络连接与端口监听 | 未知端口监听、对外异常连接、短时高频连接 | ss -antp;netstat -tulnp |
| 内核异常与资源耗尽 | kern.log/dmesg 报 OOM、I/O 错误、磁盘/文件系统错误 | dmesg |
| 服务崩溃与可疑重启 | syslog 出现服务崩溃;auth.log 与 sudo 记录显示重启命令执行 | grep -i “segfault|panic” /var/log/syslog;grep “sudo.*shutdown|reboot” /var/log/auth.log |
| 日志篡改与日志缺失 | 关键日志被清空或轮转异常、文件 mtime 突变、/var/log 权限异常 | ls -l /var/log;logrotate -d /etc/logrotate.conf(干跑检查) |
| 数据库暴力与配置弱点 | mysql/error.log 出现“Access denied”反复失败 | grep “Access denied” /var/log/mysql/error.log |
| 应用异常行为 | apport.log 频繁崩溃、apt 日志出现可疑包安装 | grep -i “crash” /var/log/apport.log;grep "install " /var/log/apt/history.log |
| 以上线索与命令覆盖了 Ubuntu 环境中最常见且易被忽视的攻击与异常迹象。 |
三 快速排查与自动化监控
四 加固与取证建议