蓝队应急响应姿势之Linux

在Linux系统中进行蓝队应急响应，需快速定位威胁、抑制影响并恢复系统安全。以下是系统化的操作流程与技术要点，结合实战场景整理：

🔍 ​​一、基础信息收集（快速建立排查基线）​​

1. ​​系统状态快照​​
   • 执行 uname -a获取内核版本及系统架构，识别未修复的高危漏洞（如Dirty Pipe内核提权漏洞CVE-2022-0847）。
   • 通过 top或 htop监控实时进程，重点排查异常CPU/内存占用（如挖矿病毒常伪装为 kworker进程）。
2. ​​网络连接分析​​
   • 使用 netstat -tunap或 ss -tunp检查异常ESTABLISHED连接（如外联C2服务器的443端口）。
   • 
   • 结合 lsof -i :端口号定位进程路径，排查 /tmp/或 /dev/shm/下的恶意二进制文件。

⚠️ ​​二、用户与权限排查（攻击者入侵入口）​​

1. ​​异常账户检测​​
   • 检查 /etc/passwd与 /etc/shadow：
     • 使用 awk -F: '$3==0 {print $1}' /etc/passwd列出所有UID为0的超级用户（含隐藏克隆账户）。
     • 对比 grep '/bin/bash' /etc/passwd与历史登录记录 lastlog，识别未授权可登录账户。
   • 排查sudo权限：grep -E 'ALL=\(ALL\)' /etc/sudoers检查非管理员用户的越权配置。
2. ​​登录行为审计​​
   • 分析认证日志：
     • Ubuntu/Debian：grep 'Failed password' /var/log/auth.log（暴力破解痕迹）。
     • CentOS/RHEL：cat /var/log/secure | grep 'Accepted'（成功登录IP溯源）。
     • 

🕵️ ​​三、进程与恶意活动追踪​​

1. ​​进程深度分析​​
   • 排查可疑进程树：pstree -p查看进程父子关系，定位 fork()爆破攻击的恶意分支。
   • 检查进程文件映射：ls -l /proc/<PID>/exe验证进程真实路径（如 /usr/bin/sshd被篡改为 /tmp/.sshd）。
2. ​​计划任务与自启动项​​
   • 扫描定时任务：
     • 用户级：crontab -l及 /var/spool/cron/目录。
     • 系统级：检查 /etc/cron.d/、/etc/cron.hourly/等目录中的恶意脚本（如下载矿机的 update.sh）。
   • 系统服务排查：systemctl list-unit-files --state=enabled列出所有开机自启服务。

📂 ​​四、文件系统与日志取证​​

1. ​​关键文件篡改检测​​
   • 使用 stat对比文件修改时间：若修改时间早于创建时间（常见于Webshell篡改），标记为可疑。
   • 重点扫描目录：
     • 临时目录：/tmp/、/dev/shm/（无文件攻击残留）。
     • Web根目录：/var/www/查找加密Webshell（特征：eval(gzinflate(base64_decode(）。
2. ​​历史命令分析​​
   • 查看用户操作记录：cat ~/.bash_history或 cat /home/<用户>/.bash_history。
     • 高危命令特征：wget下载远程脚本、chmod +x赋权、tar打包敏感数据。
     • 
   • ⚠️ ​​注意​​：攻击者常清空历史记录（history -c），需交叉分析 /var/log/下的原始日志。

🛠️ ​​五、工具辅助自动化响应​​

1. ​​专用工具推荐​​
   • ​​司稽（Whoamifuck）​​：
     • 一键式检测：./whoamifuck.sh -a输出全量报告（含用户、进程、端口、Webshell扫描）。
     • 支持导出HTML格式报告：./whoamifuck.sh -m report.html。
   • ​​LiME内存取证​​：
     • 提取内存镜像：insmod lime.ko "path=/tmp/memdump.lime"捕获无文件攻击的内存驻留代码。
   • ​​rkhunter反Rootkit​​：
     • 扫描隐藏内核模块：rkhunter --check --sk检测 /lib/modules/下的恶意驱动。
2. ​​网络层深度检测​​
   • ​​tcpdump抓包分析​​：

     # 捕获DNS隐蔽隧道（长域名请求）
     tcpdump -i eth0 'udp port 53 and len > 100' -w dns_tunnel.pcap
     # 检测C2心跳包（固定时间间隔ICMP）
     tcpdump -n 'icmp[icmptype]==8' | awk '{print $1}' | uniq -c

🚨 ​​六、关键响应动作（按优先级执行）​​

1. ​​立即隔离​​
   • 断网阻断：iptables -A OUTPUT -d <C2_IP> -j DROP或直接禁用网卡 ifconfig eth0 down。
   • 进程冻结：kill -STOP <PID>暂停恶意进程（避免触发自毁）。
2. ​​根除与恢复​​
   • 清除持久化：删除恶意cron任务、systemctl disable禁用恶意服务。
   • 漏洞修复：针对入侵路径打补丁（如SSH弱口令 → 启用密钥认证并关闭密码登录）。
   • 备份还原：从干净备份恢复 /bin/、/usr/bin/等关键目录（避免二进制替换后门）。
3. ​​加固措施​​
   • 文件防篡改：chattr +i /etc/passwd锁定关键文件。
   • 权限最小化：find / -perm -4000 -exec ls -ld {} \;检查SUID文件，移除非必要权限。

​​附：Linux应急响应工具速查表​​

工具	用途	命令示例
​​Whoamifuck​​	一键式系统检查	./whoamifuck.sh -a -o report.txt
​​LiME​​	内存取证	insmod lime.ko path=/tmp/memdump.lime
​​rkhunter​​	Rootkit检测	rkhunter --checkall --sk
​​tcpdump​​	恶意流量捕获	tcpdump -i eth0 -w capture.pcap