服务器入侵应急处置流程
痕迹清理
发现入侵后需立即切断网络连接,防止攻击者持续渗透。使用ps -ef和netstat -antp命令检查异常进程与网络连接,终止可疑进程并记录PID。重点检查/tmp、/dev/shm等临时目录,删除恶意文件时需同步清理crontab定时任务。
登录日志分析应覆盖/var/log/secure、/var/log/auth.log及~/.bash_history,特别注意非正常时间段的登录记录。Web应用需检查access_log中异常请求路径,如/admin.php等敏感路径的访问记录。
漏洞封堵
通过rpm -Va或dpkg --verify校验系统文件完整性,比对重要配置文件哈希值。更新所有软件包至最新版本,优先修补已披露的CVE漏洞,如OpenSSL、SSH等服务组件。
防火墙规则需重置为最小化开放策略,禁用非必要端口。使用iptables -A INPUT -p tcp --dport 22 -s trusted_ip -j ACCEPT实现源IP白名单控制。Web应用漏洞应部署WAF规则临时拦截攻击流量,同时修复SQL注入、文件上传等代码层缺陷。
事后加固
启用SELinux或AppArmor强制访问控制,配置/etc/sysctl.conf强化内核参数,如net.ipv4.tcp_syncookies=1防SYN洪水攻击。实施SSH证书登录替代密码认证,设置PermitRootLogin no禁用root直接登录。
建立持续监控机制,部署OSSEC等HIDS工具监测文件变更。定期进行漏洞扫描与渗透测试,关键业务系统建议部署网络隔离与双因素认证。完善备份策略,采用3-2-1原则保留离线备份副本。
溯源与报告
收集/var/log/目录下所有日志文件,使用logrotate确保日志连续性。网络流量捕获可通过tcpdump -i eth0 -w capture.pcap留存证据。编制详细的事件报告,包含时间线、影响范围和处置措施,向相关监管机构报备重大安全事件。