确认入侵迹象
检查异常登录记录、CPU/内存占用突增、陌生进程、可疑文件修改时间、异常网络连接(如netstat -antp)。查看系统日志(/var/log/)、安全工具告警(如HIDS、EDR)及业务异常表现(如数据篡改)。
立即隔离受影响系统
断开网络连接或切换至隔离VLAN,防止横向渗透。若为云服务器,通过控制台启用安全组规则限制出入站流量。避免直接关机,保留内存中的攻击痕迹供取证。
收集关键证据
备份系统日志、Web访问日志、数据库日志及~/.bash_history。使用ps auxf保存进程树,lsof -i记录网络连接,crontab -l检查计划任务。对可疑文件计算哈希值(sha256sum)并留存样本。
终止恶意活动
终止可疑进程(kill -9 PID),删除恶意定时任务(crontab -e)。检查/etc/rc.local、/etc/init.d/等启动项,移除后门脚本。排查新增用户(/etc/passwd)及SUID权限文件(find / -perm -4000)。
修复漏洞与加固
更新系统及软件补丁(yum update/apt upgrade),修改所有用户密码(包括数据库账户)。禁用无用服务(systemctl disable),配置防火墙仅开放必要端口。安装入侵检测工具(如OSSEC、Fail2Ban)。
恢复与监控
从干净备份恢复被篡改文件,优先恢复关键业务数据。部署流量监控(如Suricata)和文件完整性检查(如AIDE)。持续观察后续异常行为,必要时联系专业安全团队进行深度取证。