系统入侵排查实战指南：从Windows到Linux的应急响应与溯源分析

文章目录

• 一、排查思路与排查流程
• • 1.常见应急响应事件分类
  • • （1）Web入侵
    • （2）系统入侵
    • （3）网络攻击
  • 2.排查流程
  • • （1）快速遏制：
    • （2）数据采集：
    • （3）深度分析：
    • （4）溯源反制：
• 二、Windows入侵排查
• • [1. Windows账号安全](#1. Windows账号安全)
  • 2.​​端口与进程排查​​
  • • ​（1）​可疑连接定位​​：
    • [（2） 恶意进程特征​​：](#（2） 恶意进程特征：)
  • 3.自启动
  • [4. ​​系统信息与文件排查​​](#4. 系统信息与文件排查)
  • • [（1） ​​补丁漏洞检测​​：](#（1） 补丁漏洞检测：)
    • （2）​​敏感文件追踪​​：
• 三、Linux入侵排查
• • [1. ​​账号与历史命令​​](#1. 账号与历史命令)
  • • （1）​​用户文件审计​​：
    • （2）​​历史操作溯源​​：
  • [2. ​​进程与网络异常​​](#2. 进程与网络异常)
  • • （1）隐藏进程检测​​：
    • （2）网络嗅探识别​​：
  • [3. ​​持久化位置排查​​](#3. 持久化位置排查)
  • • （1）定时任务​​：
    • （2）​​启动脚本​​：
    • （3）​​第三方漏洞​​：
• 四、溯源分析
• • 1.威胁情报
  • • （1）IP定位
    • （2）物理定位
    • [（3） 社会工程学](#（3） 社会工程学)
• 五、关键防御建议
• 总结

一、排查思路与排查流程

1.常见应急响应事件分类

（1）Web入侵

• 网页挂马
• 主页篡改
• Webshell植入（PHP/JSP后门）

（2）系统入侵

• 病毒木马（勒索软件、远控后门）
• 提权漏洞利用

（3）网络攻击

• DDoS流量攻击
• DNS劫持
• ARP欺骗

2.排查流程

（1）快速遏制：

断网保存内存镜像

（2）数据采集：

• 系统日志
• 进程快照
• 网络连接记录

（3）深度分析：

• 异常文件检测
• 隐藏账号排查
• 计划任务审计

（4）溯源反制：

• 威胁情报关联
• 攻击路径还原

二、Windows入侵排查

1. Windows账号安全

** 排查命令**

 lusrmgr.msc                  # 检查用户列表  
net user [用户名]            # 查看账户详情  
eventvwr.msc → 安全日志      # 筛选事件ID 4624(成功)/4625(失败)[5](@ref)

2.​​端口与进程排查​​

​（1）​可疑连接定位​​：

netstat -ano | findstr ESTABLISHED  # 实时连接追踪  
tasklist | findstr [PID]            # 定位进程名称[1,6](@ref)  

（2） 恶意进程特征​​：

• 无数字签名验证（D盾/火绒剑检测）
• 高CPU占用且路径异常（如C:\temp\svchost.exe）

3.自启动

4. ​​系统信息与文件排查​​

（1） ​​补丁漏洞检测​​：

systeminfo > patch.txt # 导出补丁信息

windows-exploit-suggester.py --database [漏洞库] --systeminfo patch.txt8

（2）​​敏感文件追踪​​：

用户目录：C:\Users[用户]\Recent（最近访问文件）

系统目录：C:\Windows\System32 下异常dll/exe（如sethc.exe被替换）

三、Linux入侵排查

1. ​​账号与历史命令​​

（1）​​用户文件审计​​：

awk -F: '$3==0{print $1}' /etc/passwd    # 查特权账户  
awk '/\$1|\$6/{print $1}' /etc/shadow    # 查可远程登录账户[4](@ref)  

（2）​​历史操作溯源​​：

history → /home/[用户]/.bash_history    # 分析可疑命令（如wget恶意URL）[4,11](@ref)  
lastlog                                  # 检查所有用户最后登录时间[9](@ref)  

2. ​​进程与网络异常​​

（1）隐藏进程检测​​：

ps -ef | awk '{print $2}' | sort -n | uniq >1  
ls /proc | sort -n | uniq >2  
diff 1 2                                # 对比发现隐藏PID[11](@ref)  

（2）网络嗅探识别​​：

netstat -antp | grep ESTABLISHED        # 异常外联（如矿池地址）  
ip link | grep PROMISC                  # 检测网卡混杂模式[4](@ref)  

3. ​​持久化位置排查​​

（1）定时任务​​：

crontab -l 与 /var/spool/cron/ 目录排查

（2）​​启动脚本​​：

/etc/rc.local  
/etc/init.d/  
~/.config/autostart/                  # 用户级自启动[11](@ref)  

（3）​​第三方漏洞​​：

数据库（MySQL UDF提权）、Web中间件（未授权访问）日志分析

四、溯源分析

1.威胁情报

（1）IP定位

（2）物理定位

whois [IP] → 注册机构及地理范围  
shodan.io → 端口开放历史（如VNC暴露）[12](@ref)  

（3） 社会工程学

• GitHub项目泄露的C2服务器配置
• 社工库匹配邮箱/手机号（谨慎合法性）
• 社交媒体ID关联（如黑客论坛同昵称）

五、关键防御建议

• 日志集中化：部署ELK/Splunk实现全量日志审计
• 端点防护：安装EDR工具（如CrowdStrike、火绒）
• 最小权限：严格执行账户权限分离
• 漏洞管理：建立WSUS/Ansible补丁分发机制

---

总结

入侵排查是对抗的艺术，需将系统知识、威胁情报与攻击者思维结合。持续更新排查清单（CheatSheet），定期进行红蓝对抗演练，才能构筑真正的安全防线。

保持警惕，快速响应，让每一次入侵都成为安全体系升级的契机。