文章目錄
- 一、Linux入侵排查
- 1.賬戶安全
- 2.特權用戶排查(UID=0)
- 3.查看歷史命令
- 4.異常端口與進程
- 端口排查
- 進程排查
- 二、溯源分析
- 1. 威脅情報(Threat Intelligence)
- 2. IP定位(IP Geolocation)
- 3. 端口掃描(Port Scanning)
- 4. 社會工程學(Social Engineering)
- 💎 總結:溯源技術聯動框架
一、Linux入侵排查
1.賬戶安全
用戶信息文件:
cat /etc/passwd
account:password:UID:GID:GECOS:directory:shell
用戶名 : 密碼(x代表密碼占位符,實際密碼存儲在/etc/shadow中)
用戶ID(UID) : 組ID(GID)
用戶說明(GECOS) : 家目錄路徑
登錄后默認Shell
關鍵說明
排查思路
是否存在可疑用戶,除了root以外,是否有uid=0的用戶
2.特權用戶排查(UID=0)
檢測所有UID=0的賬戶
awk -F: '($3 == 0) {print $1}' /etc/passwd # 列出所有UID=0的用戶
分析重點:
- 除root外,若存在其他UID=0賬戶(如toor、admin等),立即鎖定并調查。
- 攻擊者常創建隱藏特權賬戶維持權限。
驗證賬戶合法性
grep '用戶名' /etc/passwd # 檢查賬戶Shell、家目錄等屬性
ls -l /home/用戶名 # 確認家目錄是否存在異常文件
可疑特征:
- Shell為/sbin/nologin卻可登錄
- 家目錄含非常規隱藏文件(如.ssh/authorized_keys異常公鑰)
sudo權限審查
- 檢查非root用戶的sudo權限
grep -v '^#\|^root' /etc/sudoers | grep 'ALL=(ALL)' # 提取非root的sudo用戶
風險點:
- 普通業務賬戶不應擁有ALL=(ALL)權限,需按最小權限原則調整。
- 審計sudo日志
grep sudo /var/log/auth.log # 查看sudo命令執行記錄
- 聚焦非運維時段或異常命令(如sudo su -、sudo vim /etc/passwd)。
賬戶管理操作
鎖定可疑賬戶
usermod -L 用戶名 # 鎖定賬戶(/etc/shadow密碼欄首加!)
passwd -l 用戶名 # 等效命令
徹底刪除賬戶
userdel -r 用戶名 # 刪除賬戶并移除家目錄
操作前務必備份:
cp -p /etc/passwd /etc/passwd.bak # 備份賬戶文件
cp -p /etc/shadow /etc/shadow.bak
3.查看歷史命令
讀取全部命令
cat /root/.*_history | more
主要分析惡意操作
4.異常端口與進程
端口排查
netstat -anltup
和Windows分析一致
1. 檢測端口占用
操作示例:
# 檢查80端口占用
sudo ss -tunlp | grep ':80'
sudo lsof -i :80
2. 分析端口狀態
- 異常特征:
- 非常用端口監聽(如10000以上隨機端口)
- 外部IP連接(netstat -anp | grep ESTABLISHED)
- 無關聯進程或進程名異常(如[deleted]提示可能為無文件進程)
3. 防火墻與網絡配置
- 檢查防火墻規則:
sudo iptables -L -n # 查看iptables規則
sudo firewall-cmd --list-all # firewalld規則(CentOS/RHEL)
- 驗證端口連通性:
telnet 目標IP 端口號 # 測試TCP端口
nc -zv 目標IP 端口號 # 快速檢測(推薦)
進程排查
1. 基礎進程分析
2. 深度進程檢查
- 查看進程詳細信息:
檢查進程真實路徑(若返回"deleted"可能為惡意進程)
ls -l /proc/<PID>/exe
查看啟動命令及參數
cat /proc/<PID>/cmdline
- 隱藏進程檢測:
對比系統進程列表與/proc目錄差異
ps -ef | awk '{print $2}' | sort -n > ps_pids.txt
ls /proc | grep -E '^[0-9]+$' | sort -n > proc_pids.txt
diff ps_pids.txt proc_pids.txt # 差異項可能是隱藏進程
3. Rootkit檢測
- 工具推薦:
sudo chkrootkit 掃描常見后門
sudo unhide proc 專查隱藏進程
二、溯源分析
1. 威脅情報(Threat Intelligence)
定義
威脅情報是通過收集、分析網絡攻擊數據(如IP、域名、惡意文件哈希等),形成可行動的威脅信息,用于預測、防御和響應攻擊。其核心價值在于將碎片化攻擊痕跡轉化為攻擊者畫像、戰術鏈條和防御策略。
主流平臺及地址
奇安信威脅情報中心:https://ti.qianxin.com/ |APT組織追蹤、攻擊鏈路還原、AI驅動分析|
微步在線ThreatBook:https://x.threatbook.com/ |暗網監控、ATT&CK戰術匹配、多維度拓線分析|
騰訊安全威脅情報中心:https://tix.qq.com/ |基礎情報+業務情報整合、IOC研判|
? 應用場景:快速研判惡意IP、分析釣魚郵件來源、關聯APT攻擊團伙活動。
2. IP定位(IP Geolocation)
物理定位技術
- ANS定位(自治系統號定位):
通過ASN(如AS4538)關聯IP所屬運營商及地理區域(例:中國教育網覆蓋高校范圍)。
命令示例:whois 58.192.55.255 查看ASN及歸屬機構。 - 公開定位接口:
埃文科技:https://www.ipuu.net/
IP138:https://www.ip138.com/
MaxMind:https://www.maxmind.com/
?? 注意:境外IP定位精度受限,國內接口對本土IP支持更優。
3. 端口掃描(Port Scanning)
目的與方法
- 作用:探測目標主機開放端口,識別潛在服務漏洞(如未授權的Redis端口6379)。
- 常用工具:
- nmap:綜合掃描(例:nmap -sV 192.168.1.1 檢測服務版本);
- masscan:高速全網掃描(適用于大規模資產普查)。
- 防御關聯:
結合威脅情報平臺(如微步在線),將掃描發現的異常IP與黑名單庫比對,快速判定風險。
4. 社會工程學(Social Engineering)
攻擊原理
利用人性弱點(信任、好奇、恐懼)誘騙泄露信息或執行惡意操作,非技術性突破防線的典型手段。
注冊網站檢測
https://www.reg007.com/search
網站歷史
https://archive.org/web/
社交軟件
https://checkusernames.com/
社交媒體
各種社交媒體
常見手法與防御
💡 溯源應用:
分析釣魚郵件頭獲取發送IP → 結合威脅情報定位攻擊團伙 → 關聯歷史攻擊模式。
💎 總結:溯源技術聯動框架
graph LR
A[端口掃描發現異常IP] --> B{威脅情報比對}
B -->|命中黑名單| C[IP定位→物理地址]
B -->|未知IP| D[社會工程學線索分析]
C & D --> E[攻擊者畫像: 身份/工具/意圖]
通過技術+人性雙維度溯源,實現從“攻擊痕跡”到“攻擊者身份”的閉環。
工具鏈推薦:nmap(掃描) + 微步在線(情報) + 埃文IP定位(地理追蹤) + 員工安全意識培訓(防社工)。
)
