centos进程如何进行安全性检查 - 问答

CentOS 进程安全性检查实操指南

一快速排查流程

二关键命令清单

检查点	命令示例	关注点
进程快照与排序	ps -aux --sort=-%cpu	未知进程、异常命令行、CPU/内存突增
可疑进程定位	top/htop；按 M 按内存排序	资源占用异常、短时波动
可执行文件路径	readlink /proc//exe；ls -l /proc//exe	指向 /tmp、/dev/shm、隐藏目录
进程打开文件与端口	lsof -p ；ss -lntp 或 netstat -tunap	可疑库、脚本、socket、非常用端口
网络连接与外连	ss -tunap；netstat -tunap	非常规 IP/端口、可疑 SMTP 外连
网卡混杂模式	ip link	网卡处于 PROMISC 可能意味着嗅探
登录与爆破痕迹	last -x -F；lastb；lastlog；who；w	异常 IP、失败次数高、时间异常
定时任务与自启动	crontab -l；cat /etc/crontab；ls /etc/cron.*；systemctl list-unit-files	含 curl/wget/bash/sh -c、/dev/tcp 等可疑命令

三深入核查与取证

隐藏进程与异常父子关系：对比 ps 输出与 /proc 目录，排查已断开 /proc 链接或异常 PPID 的进程；检查 /tmp、/dev/shm 等临时目录的可疑可执行文件与 socket。
可疑网络连接特征：重点排查非常用端口、对外 SMTP 连接（25/465/587/2525）、短连接高频外连、连接到陌生网段的会话。
反弹 Shell 与非常规通道：检索进程命令行是否包含 /dev/tcp、bash -i、nc、python/perl/ruby 反弹片段；检查 LD_PRELOAD、ld.so.preload、PROMPT_COMMAND、SSH wrapper 等持久化/注入点。
关联持久化：除 cron 外，核查 systemd 服务、rc.local、/etc/rc*.d、开机自启脚本、inetd/xinetd 配置、SSH authorized_keys 与 ~/.ssh/config。
完整性校验：对 /bin、/sbin、/usr/bin、/usr/sbin 等核心目录执行 rpm -Va，关注标记为 5（MD5 变化）/S（大小变化）/T（时间变化）/U（属主变化）/G（属组变化） 的文件。

四自动化与加固

自动化巡检工具：
- GScan（CentOS 6/7，Python 2/3）：一键排查进程、网络、后门、Rootkit、账户与日志，支持差异比对与处置建议，输出 /GScan/log/gscan.log。
- Lynis：系统级安全审计，覆盖进程、服务、防火墙、账户、软件等，生成详细报告与整改建议。
处置与加固要点：
- 发现高危进程先取证（PID、命令行、打开文件、网络连接、启动项），再隔离处置；必要时临时封禁可疑 IP（firewalld/iptables）。
- 清理持久化（删除/禁用异常 cron、systemd 服务、SSH 公钥、启动项），恢复合法配置。
- 修复被篡改文件与权限，更新系统与软件包，重启服务并持续监控。
- 加强最小权限与隔离：启用并正确配置 SELinux，限制服务运行账户与能力；仅开放必要端口与协议。

0 赞

0 踩