一、整体流程梳理(应急响应标准五步法)
| 阶段 | 目标 | 关键动作 |
|---|---|---|
| 调查(Identification) | 判断是否真的失陷 | 查看CPU异常、日志告警、流量突增等初步迹象 |
| 评估(Assessment) | 分析可能攻击类型 | 挖矿?Webshell?横向渗透?DDoS?SSH爆破? |
| 抑制(Containment) | 防止进一步扩散 | 断网隔离、冻结账户、关闭可疑端口 |
| 分析(Analysis) | 找到根源 & 证据链 | 查进程、文件、网络连接、历史命令、计划任务等 |
| 恢复(Recovery) | 清理 & 加固 | 删除后门、修复漏洞、加固配置、生成报告 |
二、详细排查步骤(由浅入深 + 命令+工具+POC)
1. 基础信息收集(快速定位系统状态)
系统基本信息
uname -a # 查看内核版本(检查是否有提权漏洞,如Dirty COW)
cat /etc/os-release # 查看Linux发行版(Ubuntu/CentOS/Debian等)
uptime # 查看系统运行时间(判断是否近期被入侵)
timedatectl # 查看时区设置(防止日志时间错乱) 常见漏洞关联:
- 内核版本 < 4.4:可能存在 Dirty COW (
CVE-2016-5195) 提权漏洞 - CentOS 6.x:默认无审计功能,易被绕过
推荐工具:
- Linux Exploit Suggester —— 自动检测本地提权漏洞
wget https://raw.githubusercontent.com/mzet-/linux-exploit-suggester/master/linux-exploit-suggester.sh chmod +x linux-exploit-suggester.sh ./linux-exploit-suggester.sh --kernel $(uname -r)
2. CPU/内存异常排查(挖矿木马最常见表现)
top -c -o %CPU # 查看CPU占用TOP进程(注意 > 100% 的异常)
ps aux | sort -nrk 3,3 | head -10 # 按CPU排序前10个进程
ps aux | grep -i "minerd\|xmrig\|kdevtmpfsi" # 查找常见挖矿程序名
实战案例参考(来自知识库):
百度某服务器发现PID为6184,占用CPU高达398%,最终确认为挖矿木马(MD5:
4499165a5b0f7ac6ddf9dcbbe1f5a4f1)
如何提取样本分析?
# 获取异常进程路径
ps -e
最低0.47元/天 解锁文章
扫一扫
1571
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
