Linux应急响应检测阶段操作指南

一、应急响应概述

应急响应流程通常遵循PDCERF模型：

P（Preparation）准备
D（Detection）检测
C（Containment）抑制
E（Eradication）根除
R（Recovery）恢复
F（Follow-up）跟进

本文重点介绍检测(D)阶段的操作流程和技术要点。

二、常见应急场景

网站页面遭篡改（挂暗链、黑链）
服务器存在木马、挖矿软件、VPN等异常程序
发现异常外部连接，CPU占用率飙升
内网大量异常连接占用带宽
疑似DoS大规模流量攻击
安全监管部门监测发现异常

三、检测阶段操作流程

1. 初步系统检查

查看系统资源占用：

top
ps -aux

检查网络连接：

netstat -antp
# 如果netstat不可用，检查/bin/netstat文件大小是否异常
ls -lh /bin/netstat

查找异常进程：

# 通过PID查找进程位置
ls -l /proc/[PID]/exe

2. 恶意进程处理

结束异常进程：

kill -9 [PID]

防止进程复活：

# 检查启动项
cat /etc/rc.local
ls -la /etc/init.d/

# 检查定时任务
crontab -l
cat /etc/crontab
ls -la /var/spool/cron/

3. 全面系统检查

查找最近修改的文件：

find / -mtime -1

检查用户登录情况：

last
who
w
uptime

检查用户和密码文件：

cat /etc/passwd
cat /etc/shadow

检查命令历史：

cat ~/.bash_history
history

检查系统日志：

ls -la /var/log/
# 重点关注以下日志
cat /var/log/messages
cat /var/log/secure
cat /var/log/auth.log

4. 文件分析工具

查找异常文件：

find / -name "*.sh" -o -name "*.py" -o -name "*.pl"
find / -perm -4000

检查隐藏文件和目录：

ls -la /tmp/
ls -la /dev/shm/

使用lsof检查打开文件：

lsof -i
lsof -p [PID]

四、常用命令总结

命令/文件	用途
`top`	查看系统资源占用
`ps -aux`	查看所有进程
`netstat -antp`	查看网络连接
`lsof -i`	查看网络连接(替代netstat)
`find / -mtime -1`	查找24小时内修改的文件
`last`	查看登录历史
`who`	查看当前登录用户
`w`	查看系统负载和登录用户
`uptime`	查看系统运行时间和负载
`cat ~/.bash_history`	查看命令历史
`history`	查看当前会话历史
`crontab -l`	查看当前用户定时任务
`/etc/crontab`	系统定时任务
`/etc/init.d/`	系统服务脚本目录
`/etc/rc.local`	系统启动脚本
`/etc/passwd`	用户账户信息
`/etc/shadow`	用户密码哈希
`/var/log/`	系统日志目录

五、注意事项

在应急响应前，尽量先对系统进行镜像备份
记录所有操作步骤和命令输出
不要直接删除可疑文件，应先备份再处理
检查命令是否被替换或篡改
注意隐藏文件和非常规目录(/tmp/, /dev/shm/)
检查系统所有可能的持久化机制

六、后续工作

完成检测阶段后，应继续进行：

溯源分析（通过日志追踪攻击者行为）
系统加固（修复漏洞，修改密码等）
编写完整的应急响应报告

以上内容涵盖了Linux系统应急响应检测阶段的核心操作流程和技术要点，可根据实际应急场景灵活运用这些命令和技术。

Linux应急响应检测阶段操作指南一、应急响应概述应急响应流程通常遵循PDCERF模型： P（Preparation）准备 D（Detection）检测 C（Containment）抑制 E（Eradication）根除 R（Recovery）恢复 F（Follow-up）跟进本文重点介绍检测(D)阶段的操作流程和技术要点。二、常见应急场景网站页面遭篡改（挂暗链、黑链）服务器存在木马、挖矿软件、VPN等异常程序发现异常外部连接，CPU占用率飙升内网大量异常连接占用带宽疑似DoS大规模流量攻击安全监管部门监测发现异常三、检测阶段操作流程 1. 初步系统检查查看系统资源占用：检查网络连接：查找异常进程： 2. 恶意进程处理结束异常进程：防止进程复活： 3. 全面系统检查查找最近修改的文件：检查用户登录情况：检查用户和密码文件：检查命令历史：检查系统日志： 4. 文件分析工具查找异常文件：检查隐藏文件和目录：使用lsof检查打开文件：四、常用命令总结 | 命令/文件 | 用途 | |----------|------| | top | 查看系统资源占用 | | ps -aux | 查看所有进程 | | netstat -antp | 查看网络连接 | | lsof -i | 查看网络连接(替代netstat) | | find / -mtime -1 | 查找24小时内修改的文件 | | last | 查看登录历史 | | who | 查看当前登录用户 | | w | 查看系统负载和登录用户 | | uptime | 查看系统运行时间和负载 | | cat ~/.bash_history | 查看命令历史 | | history | 查看当前会话历史 | | crontab -l | 查看当前用户定时任务 | | /etc/crontab | 系统定时任务 | | /etc/init.d/ | 系统服务脚本目录 | | /etc/rc.local | 系统启动脚本 | | /etc/passwd | 用户账户信息 | | /etc/shadow | 用户密码哈希 | | /var/log/ | 系统日志目录 | 五、注意事项在应急响应前，尽量先对系统进行镜像备份记录所有操作步骤和命令输出不要直接删除可疑文件，应先备份再处理检查命令是否被替换或篡改注意隐藏文件和非常规目录(/tmp/, /dev/shm/) 检查系统所有可能的持久化机制六、后续工作完成检测阶段后，应继续进行：溯源分析（通过日志追踪攻击者行为）系统加固（修复漏洞，修改密码等）编写完整的应急响应报告以上内容涵盖了Linux系统应急响应检测阶段的核心操作流程和技术要点，可根据实际应急场景灵活运用这些命令和技术。