隔离受影响系统: - 立即断开网络连接 - 如果可能,将系统置于隔离网络环境 - 不要关闭系统(可能丢失取证证据)
初步调查:
- 检查当前登录用户:who, w, last
- 检查异常进程:ps auxf, top, htop
- 检查网络连接:netstat -tulnp, ss -tulnp, lsof -i
重置受影响账户:
passwd [用户名] # 重置密码
usermod -L [用户名] # 锁定账户
检查SUID/SGID文件:
find / -perm -4000 -type f -exec ls -la {} \; 2>/dev/null
find / -perm -2000 -type f -exec ls -la {} \; 2>/dev/null
检查可写目录:
find / -perm -2 -type d -exec ls -ld {} \; 2>/dev/null
更新系统:
# 对于基于Debian的系统
apt update && apt upgrade -y
# 对于基于RHEL的系统
yum update -y
配置防火墙:
# 使用iptables或firewalld限制访问
iptables -A INPUT -p tcp --dport 22 -s [信任IP] -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
SSH安全配置:
# 编辑/etc/ssh/sshd_config
PermitRootLogin no
PasswordAuthentication no # 使用密钥认证
AllowUsers [允许的用户]
UsePAM yes
安装安全工具:
# 安装入侵检测系统
apt install aide # 或 tripwire, ossec
aide --init
检查日志:
journalctl -xe # systemd日志
grep "Failed" /var/log/auth.log # 认证失败尝试
last -f /var/log/wtmp # 登录历史
检查定时任务:
crontab -l -u root # 检查root的cron
ls -la /etc/cron* # 检查系统cron
检查内核模块:
lsmod # 列出加载的模块
如果入侵情况严重或涉及敏感数据,建议联系专业的安全团队进行取证和彻底清理。