如何判断Debian系统是否被Exploit - 问答

判断 Debian 是否被 Exploit 的实用流程

一快速自检清单

检查异常登录与权限变更
- 查看关键日志：/var/log/auth.log、/var/log/syslog、/var/log/kern.log
- 关注关键词：Failed password、Accepted、root、sudo、session opened/closed
- 示例：sudo grep "Failed password" /var/log/auth.log | tail -n 50
排查可疑进程与资源占用
- 动态观察：top/htop、vmstat 1
- 网络连接：ss -tulpen | grep -E '(:22|:80|:443)'、netstat -anp | grep ESTAB
- 监听与异常端口：是否有未知服务绑定到高位端口
检查计划任务与自启动
- 定时任务：crontab -l -u root、sudo cat /etc/crontab /etc/cron.*/*
- 系统服务与自启动：systemctl list-timers --all、sudo systemctl list-units --type=service --state=running
- 可疑脚本：grep -R "#!/bin/bash" /etc/rc.local /etc/init.d /etc/rc*.d /root 2>/dev/null
文件完整性与可疑二进制
- 系统完整性：sudo dpkg --audit、sudo debsums -s
- Rootkit/后门：sudo chkrootkit、sudo rkhunter --check
- 入侵检测基线：sudo lynis audit system
网络异常外连
- 抓包与流向：sudo tcpdump -ni any 'tcp or udp' -vv
- 可疑域名/IP：对比威胁情报或已知 C2 列表
外部视角验证
- 端口与服务：nmap -sV -p- your_server_ip
- 漏洞扫描：部署 OpenVAS/GVM 或 Nessus 做合规与漏洞评估

二关键日志与可疑迹象对照表

迹象	重点位置	快速命令示例	处置要点
暴力破解 SSH	/var/log/auth.log	`grep “Failed password” /var/log/auth.log	tail -n 20`
提权与异常 sudo	/var/log/auth.log、/var/log/syslog	`grep “sudo:” /var/log/auth.log	tail -n 20`
内核/系统异常	/var/log/kern.log、dmesg	`dmesg -T	tail -n 50`
可疑定时任务	*/etc/crontab、/etc/cron.、crontab -l**	`grep -R "curl\|wget\|bash" /etc/cron* 2>/dev/null`	暂停任务、取证样本、清理恶意任务
未知服务/端口	`ss -tulpen`、`systemctl`	`ss -tulpen	grep -E '(:22
Rootkit/后门	系统二进制、内核模块	`sudo chkrootkit`、`sudo rkhunter --check`	立即隔离、全盘杀毒、重装受影响组件
文件篡改	关键系统文件	`sudo debsums -s`、`sudo aide --check`	从可信仓库恢复、加固文件权限
异常外连	网络流量	`sudo tcpdump -ni any 'tcp or udp' -vv`	阻断 C2、取证 PCAP、更新防火墙策略

三自动化与持续监测

本地审计与恶意软件巡检
- Lynis：sudo lynis audit system（系统安全基线）
- chkrootkit/rkhunter：sudo chkrootkit、sudo rkhunter --check
- 建议加入 cron 定期执行并落盘日志，便于审计与回溯
漏洞评估
- OpenVAS/GVM：sudo apt install gvm && sudo gvm-setup（首次初始化较久）
- 商业可选 Nessus，覆盖 CVE 与配置弱点
入侵检测与防御
- 主机/网络 IDS/IPS：Snort、Suricata
- 日志集中与告警：SIEM 方案聚合分析
防火墙与访问控制
- 最小化暴露面：sudo ufw enable 或 iptables 仅放行必要端口
- SSH 加固：禁用口令登录、仅允许密钥、限制可登录用户

四发现后的处置与加固

立即隔离
- 断开公网/内网连接：sudo ip link set dev eth0 down（按实际网卡名调整），避免横向移动
取证与快照
- 保留现场：进程列表 ps auxf、网络连接 ss -tulpen、定时任务、可疑文件 sha256sum <file>
- 内存与磁盘取证（如具备条件）：内存镜像、关键目录打包归档
清理与恢复
- 终止恶意进程：sudo pkill -f <恶意关键词>；清理定时任务与自启动项
- 从可信源恢复被篡改文件：sudo apt install --reinstall <package>
- 系统完整性校验：sudo debsums -s、sudo aide --check
修补与加固
- 更新系统：sudo apt update && sudo apt upgrade -y
- 自动安全更新：sudo apt install unattended-upgrades && sudo dpkg-reconfigure unattended-upgrades
- SSH 安全：禁用 root 远程、仅密钥登录、限制可登录用户与来源网段
验证与复盘
- 复扫：lynis、rkhunter、OpenVAS/GVM
- 复盘攻击路径与入口点，修补配置或软件缺陷，完善监控告警与备份策略

五 10分钟最小检查命令清单

合规与安全提示

0 赞

0 踩