发现 linux 是否被入侵需基于证据链闭环:查 /var/log/secure 识别暴力破解与非法登录;查 /etc/passwd 确认 UID 0 非 root 账户;扫 Web 日志捕获 sql 注入、xss等攻击痕迹。
发现 linux 系统 是否被入侵,核心在于“异常可观测”——日志里有痕迹、进程里有异动、文件里有篡改、网络里有可疑连接。不靠猜测,靠证据链闭环。
看登录日志,揪出非法访问源头
/var/log/secure 是 ssh 登录行为的主战场,重点关注失败与成功两类记录:
- 查暴力破解:grep “Failed password” /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr | head -10 ——列出高频尝试登录的 IP
- 查已成功入侵:grep “Accepted” /var/log/secure | awk ‘{print $1,$9,$11}’ ——显示时间、用户、来源 IP,特别注意境外或非办公网段 IP
- 查 root 以外的 UID 0 账户:awk -F: ‘$3==0{print $1}’ /etc/passwd ——若出现非 root 用户,极可能已被提权
扫 Web 日志,识别典型攻击载荷
网站访问日志(如 /www/logs/access.log)是sql 注入、XSS、命令执行、WebShell 上传的直接证据:
- SQL 注入痕迹:grep -E -i “select.*from|union.*select|sleep(|benchmark(” access.log
- XSS 特征:grep -E -i “
- 命令注入:grep -E -i “cat%20/etc/passwd|ls%20-alh|%20pwd|;curl|;wget” access.log
- WebShell 上传:grep -E -i “.php?|eval(|assert(|base64_decode(|system(|passthru(” access.log
查进程与端口,定位隐蔽后门
攻击者常驻后台进程、监听非常规端口、替换系统命令:
- 看异常进程:ps aux –sort=-%cpu | head -15 ——结合 CPU/ 内存占用和命令路径判断(如 /tmp/.a、/dev/shm/.b 这类路径高度可疑)
- 查监听端口:netstat -tulnp | grep -v “127.0.0.1:” ——过滤本地回环,聚焦对外暴露的非标端口(如 31337、6666、8888)
- 验命令完整性:ls -la /bin/ps /usr/bin/netstat /bin/ls ——比对文件大小、修改时间;再用 md5sum /bin/ps 与干净系统比对哈希值
找文件改动,锁定后门植入点
攻击者上传木马、修改配置、创建隐藏账户,都会留下文件操作痕迹:
- 查 24 小时内新建 / 修改的 PHP 文件:find /var/www -name “*.php” -mtime -1 -ls
- 搜含危险函数的一句话木马:find /var/www -name “*.php” -type f -exec grep -l “eval|assert|system|shell_exec|base64_decode” {} ; 2>/dev/null
- 找权限过宽的脚本:find /var/www -name “*.php” -perm 777 -ls ——777 权限极易被覆盖写入
- 查最近创建的隐藏文件:find /tmp /dev/shm /var/tmp -type f -mtime -3 -name “.*” -ls 2>/dev/null
