云主机入侵排查与应急响应流程
日志分析通过云平台控制台或SSH连接获取系统日志(如/var/log/auth.log、/var/log/syslog)。重点关注异常登录记录、非授权IP访问、sudo提权行为。使用grep -i "failed" /var/log/auth.log筛选失败登录尝试。
使用工具如journalctl查看systemd日志,排查服务异常启动。结合云厂商的日志服务(如AWS CloudTrail、阿里云ActionTrail)分析API调用记录,识别异常操作。
进程与网络检查执行top或htop查看异常CPU占用进程。通过netstat -tulnp或ss -tulnp检查陌生端口监听。使用lsof -i确认进程与网络连接的关联性,特别注意ESTABLISHED状态的异常连接。
文件系统排查利用find / -mtime -2查找48小时内被修改的文件。检查/tmp、/dev/shm等临时目录是否存在可疑文件。使用rpm -Va或dpkg -V验证系统文件完整性,比对哈希值异常的文件。
后门检测检查crontab -l及/etc/crontab是否存在恶意计划任务。查看/etc/ld.so.preload是否被注入恶意动态链接库。使用chkconfig --list或systemctl list-unit-files排查异常服务。
入侵后应急处理措施
隔离与阻断立即通过云安全组或ACL限制出入站流量,仅保留管理IP访问。对被入侵实例创建快照后关机,防止攻击横向扩散。通过云平台VPC功能隔离受感染子网。
权限清理使用usermod -L <user>锁定可疑账户,删除未知SSH公钥(~/.ssh/authorized_keys)。更新所有账户密码,确保/etc/sudoers未添加非法提权账户。
后门清除定位恶意进程后使用kill -9终止,并删除对应二进制文件。通过rm -f删除webshell等攻击载荷,清理~/.bash_history等可能被篡改的历史记录。
系统恢复从干净备份还原关键数据,或基于镜像重建实例。更新所有软件包至最新版,修补CVE漏洞。部署HIDS(如OSSEC)增强持续监控能力。
防御加固建议
基础防护配置启用云平台安全组最小化放通策略,部署网络ACL实现子网级隔离。开启云防火墙服务,配置WAF防护Web应用层攻击。
日志审计增强配置日志自动上传至云端日志服务(如阿里云SLS),避免本地日志被篡改。部署SIEM系统实现实时日志分析,设置异常登录告警阈值。
安全基线检查定期运行CIS基准检查工具,确保符合安全配置标准。使用OpenSCAP等工具自动化合规扫描,及时修正不符合项。
入侵防御体系部署EDR解决方案监控进程行为,阻断可疑操作链。配置文件完整性监控(FIM),对关键目录(如/etc)进行变更告警。实施多因素认证(MFA)强化访问控制。
整理:含 34 个极端气候指数)
