如何利用Linux exploit进行应急响应 - 问答

Linux Exploit 应急响应的目标与原则

一、快速遏制与隔离

二、现场快速排查与取证

系统状态与可疑进程
- 使用top/ps -aux定位异常进程；对高占用或命令行含可疑URL/矿池地址的进程记录PID/PPID/启动参数/工作目录/启动时间。
网络连接与可疑通信
- 使用netstat -antp或ss -antp查看ESTABLISHED与异常连接；对可疑IP/域名进行持续监控，必要时在**/etc/hosts将恶意域名指向不可达地址**以定位关联进程。
登录与历史行为
- 检查**/var/log/secure**（SSH 登录审计）、/var/log/messages、/var/log/cron；审阅**~/.bash_history与全局历史，补充HISTTIMEFORMAT与PROMPT_COMMAND**确保时间与来源可追溯。
持久化与自启动
- 排查**/etc/rc.local、/etc/init.d、/etc/rc*.d、/etc/cron*、/var/spool/cron、systemd 服务单元**（如**/etc/systemd/system/*.service、/usr/lib/systemd/）、以及~/.ssh/authorized_keys与crontab -l -u **。
文件系统与完整性
- 查找最近修改/新增的可疑文件（如find /tmp /var/tmp /dev/shm /opt -mtime -3 -ls），检查SUID/SGID与异常库预加载（LD_PRELOAD）、动态链接库劫持（/etc/ld.so.preload）。
恶意代码初筛
- 使用rkhunter等工具做Rootkit/后门快速检测，结合沙箱/多引擎对样本进行网络行为分析。

三、常见 Exploit 入口与修复要点

入口/漏洞	典型迹象	快速修复与验证
SSH 弱口令/暴力	/var/log/secure 大量失败登录；新增可疑公钥	强制复杂口令/密钥登录、禁用root 远程、限制来源网段、开启fail2ban或等效机制
Redis 未授权访问	crontab 出现下载执行脚本；外连矿池	仅127.0.0.1 绑定、设置强口令、禁用危险命令、限制端口访问、重启并验证/proc//cmdline
Web 应用 RCE（如 Struts2、Weblogic 等）	可疑POST 请求、命令执行痕迹、Web 目录写入Webshell	升级到安全版本、删除Webshell、修补漏洞、复核WAF/IPS策略与访问白名单
Docker API 未授权	容器挂载/etc/cron、/var/spool/cron 等；异常容器	启用TLS 认证、绑定本地 socket、限制API 访问来源、清理恶意容器与镜像
内核/系统组件漏洞	异常内核线程/模块、提权痕迹	升级内核/组件、重建initramfs、重启验证；必要时从干净快照/介质恢复
说明：修复后需复核相关端口与服务是否仅对内网开放，并验证计划任务/服务单元不再被篡改。

四、清理与恢复

终止与清除
- 对确认的恶意进程执行kill -9 ；删除对应可执行文件/脚本与临时目录；清理crontab/rc.local/systemd中的异常条目；移除authorized_keys中的可疑公钥；撤销LD_PRELOAD/ld.so.preload劫持。
加固与验证
- 开启并正确配置SELinux（如**/etc/selinux/config设为enforcing**）；仅开放必要端口/服务；使用firewalld/iptables实施最小暴露面；对SSH仅允许密钥登录并禁用root 远程。
业务恢复
- 先在隔离环境功能验证，再灰度/分批上线；恢复后持续日志监控与基线巡检，确认无异常网络连接/进程/计划任务。

五、取证与后续改进

证据保全
- 保全**/var/log/下相关日志、/etc/与/var/spool/cron等关键目录的快照、进程列表/网络连接快照、可疑二进制样本与内存镜像**（如条件允许）；对网络侧保留流量抓包与IDS/IPS告警记录。
溯源与复盘
- 基于登录审计/命令历史/网络会话还原入侵路径与影响范围；输出事件报告与整改清单；完善监控告警规则与应急预案，开展定期演练与补丁管理。

0 赞

0 踩