当前位置：首页 > article >正文

【HW系列】—溯源与定位—Linux入侵排查

article 2025/6/3 11:32:03

文章目录

一、Linux入侵排查
- 1.账户安全
- 2.特权用户排查（UID=0）
- 3.查看历史命令
- 4.异常端口与进程
- - 端口排查
  - 进程排查
二、溯源分析
- 1. 威胁情报（Threat Intelligence）
- 2. IP定位（IP Geolocation）
- 3. 端口扫描（Port Scanning）
- 4. 社会工程学（Social Engineering）
- - 💎 总结：溯源技术联动框架

一、Linux入侵排查

1.账户安全

用户信息文件：

cat /etc/passwd

在这里插入图片描述

account:password:UID:GID:GECOS:directory:shell
用户名 : 密码（x代表密码占位符，实际密码存储在/etc/shadow中）
用户ID（UID） : 组ID（GID）
用户说明（GECOS） : 家目录路径
登录后默认Shell

关键说明

在这里插入图片描述

排查思路
是否存在可疑用户，除了root以外，是否有uid=0的用户

2.特权用户排查（UID=0）

检测所有UID=0的账户

awk -F: '($3 == 0) {print $1}' /etc/passwd  # 列出所有UID=0的用户

分析重点：
- 除root外，若存在其他UID=0账户（如toor、admin等），立即锁定并调查。
- 攻击者常创建隐藏特权账户维持权限。

验证账户合法性

grep '用户名' /etc/passwd  # 检查账户Shell、家目录等属性
ls -l /home/用户名         # 确认家目录是否存在异常文件

可疑特征：
- Shell为/sbin/nologin却可登录
- 家目录含非常规隐藏文件（如.ssh/authorized_keys异常公钥）

sudo权限审查

检查非root用户的sudo权限

grep -v '^#\|^root' /etc/sudoers | grep 'ALL=(ALL)'  # 提取非root的sudo用户

风险点：
- 普通业务账户不应拥有ALL=(ALL)权限，需按最小权限原则调整。

审计sudo日志

grep sudo /var/log/auth.log  # 查看sudo命令执行记录

- 聚焦非运维时段或异常命令（如sudo su -、sudo vim /etc/passwd）。

账户管理操作
锁定可疑账户

usermod -L 用户名  # 锁定账户（/etc/shadow密码栏首加!）
passwd -l 用户名    # 等效命令

彻底删除账户

userdel -r 用户名  # 删除账户并移除家目录

操作前务必备份：

cp -p /etc/passwd /etc/passwd.bak  # 备份账户文件
cp -p /etc/shadow /etc/shadow.bak

3.查看历史命令

读取全部命令

cat /root/.*_history | more

在这里插入图片描述
主要分析恶意操作

4.异常端口与进程

端口排查

netstat -anltup

在这里插入图片描述
和Windows分析一致
1. 检测端口占用

操作示例：

# 检查80端口占用
sudo ss -tunlp | grep ':80'
sudo lsof -i :80

2. 分析端口状态

异常特征：
- 非常用端口监听（如10000以上随机端口）
- 外部IP连接（netstat -anp | grep ESTABLISHED）
- 无关联进程或进程名异常（如[deleted]提示可能为无文件进程）
  3. 防火墙与网络配置
检查防火墙规则：

sudo iptables -L -n  # 查看iptables规则
sudo firewall-cmd --list-all  # firewalld规则（CentOS/RHEL）

验证端口连通性：

telnet 目标IP 端口号     # 测试TCP端口
nc -zv 目标IP 端口号    # 快速检测（推荐）

进程排查

1. 基础进程分析

2. 深度进程检查

查看进程详细信息：

检查进程真实路径（若返回"deleted"可能为恶意进程）
ls -l /proc/<PID>/exe  
查看启动命令及参数
cat /proc/<PID>/cmdline

隐藏进程检测：

对比系统进程列表与/proc目录差异
ps -ef | awk '{print $2}' | sort -n > ps_pids.txt
ls /proc | grep -E '^[0-9]+$' | sort -n > proc_pids.txt
diff ps_pids.txt proc_pids.txt  # 差异项可能是隐藏进程

3. Rootkit检测

工具推荐：

sudo chkrootkit    扫描常见后门
sudo unhide proc   专查隐藏进程

二、溯源分析

1. 威胁情报（Threat Intelligence）

定义
威胁情报是通过收集、分析网络攻击数据（如IP、域名、恶意文件哈希等），形成可行动的威胁信息，用于预测、防御和响应攻击。其核心价值在于将碎片化攻击痕迹转化为攻击者画像、战术链条和防御策略。
主流平台及地址

✅ 应用场景：快速研判恶意IP、分析钓鱼邮件来源、关联APT攻击团伙活动。

2. IP定位（IP Geolocation）

物理定位技术

ANS定位（自治系统号定位）：
通过ASN（如AS4538）关联IP所属运营商及地理区域（例：中国教育网覆盖高校范围）。
命令示例：whois 58.192.55.255 查看ASN及归属机构。
公开定位接口：

埃文科技:https://www.ipuu.net/
IP138:https://www.ip138.com/
MaxMind:https://www.maxmind.com/

⚠️ 注意：境外IP定位精度受限，国内接口对本土IP支持更优。

3. 端口扫描（Port Scanning）

目的与方法

作用：探测目标主机开放端口，识别潜在服务漏洞（如未授权的Redis端口6379）。
常用工具：
- nmap：综合扫描（例：nmap -sV 192.168.1.1 检测服务版本）；
- masscan：高速全网扫描（适用于大规模资产普查）。
防御关联：
结合威胁情报平台（如微步在线），将扫描发现的异常IP与黑名单库比对，快速判定风险。

4. 社会工程学（Social Engineering）

攻击原理
利用人性弱点（信任、好奇、恐惧）诱骗泄露信息或执行恶意操作，非技术性突破防线的典型手段。
注册网站检测
https://www.reg007.com/search
网站历史
https://archive.org/web/
社交软件
https://checkusernames.com/
社交媒体
各种社交媒体

常见手法与防御
在这里插入图片描述

💡 溯源应用：
分析钓鱼邮件头获取发送IP → 结合威胁情报定位攻击团伙 → 关联历史攻击模式。

💎 总结：溯源技术联动框架

graph LR
A[端口扫描发现异常IP] --> B{威胁情报比对}
B -->|命中黑名单| C[IP定位→物理地址]
B -->|未知IP| D[社会工程学线索分析]
C & D --> E[攻击者画像： 身份/工具/意图]

通过技术+人性双维度溯源，实现从“攻击痕迹”到“攻击者身份”的闭环。
工具链推荐：nmap（扫描） + 微步在线（情报） + 埃文IP定位（地理追踪） + 员工安全意识培训（防社工）。