在Centos系统运维过程中，入侵事件时有发生，入侵者可能会采取各种手段隐藏其入侵痕迹，给系统安全带来严重威胁。作为运维人员，需要掌握有效的溯源方法，以便快速发现入侵行为、定位入侵源头并采取相应的应对措施，保障系统的安全性和稳定性。

运维人员需要具备相应的系统安全分析能力，包括日志分析、文件完整性检查、网络流量分析、恶意代码检测等方面的专业技能，能够运用多种工具和技术手段对入侵行为进行全面溯源，同时能够根据溯源结果制定针对性的安全策略和防护措施。

快速取证检查项

1. 系统状态快照

# 获取系统基本信息
uname -a > /tmp/system_info.txt
ip addr show >> /tmp/system_info.txt
df -h >> /tmp/system_info.txt

# 内存/进程状态保存
ps auxef > /tmp/process_snapshot.txt
netstat -tulnp > /tmp/network_snapshot.txt

2. 关键证据固化

# 内存镜像采集（需root）
mkdir -p /evidence && cd /evidence
yum install -y lime-forensics 2>/dev/null || git clone https://github.com/504ensicsLabs/LiME
insmod ./lime-forensics/src/lime.ko "path=/evidence/memory.raw format=raw"

# 磁盘关键目录备份
tar czvf /evidence/system_logs.tar.gz /var/log
tar czvf /evidence/config_backup.tar.gz /etc /root/.ssh

详细排查流程

1. 用户与认证审计

# 检查异常用户
awk -F: '($3 < 1000) {print}' /etc/passwd
lastb | awk '{print $3}' | sort | uniq -c | sort -nr

# SSH登录分析
grep -E 'Accepted|Failed' /var/log/secure | awk '{print $1,$3,$11}' | sort | uniq -c

2. 进程与网络分析

# 隐藏进程检测（对比ps与/proc）
ps -eo pid | sort -n > /tmp/ps_pids.txt
ls /proc | grep '^[0-9]' | sort -n > /tmp/proc_pids.txt
diff /tmp/ps_pids.txt /tmp/proc_pids.txt

# 异常外联检测
ss -antp | awk '{print $5}' | cut -d: -f1 | grep -v 127.0.0.1 | sort | uniq -c
lsof -i | grep -E 'ESTABLISHED|LISTEN'

3. 文件系统排查

# 查找近期修改文件
find / -type f -mtime -3 -exec ls -l {} \; 2>/dev/null | grep -Ev '/proc|/sys|/dev'

# RPM包完整性验证
rpm -Va > /tmp/rpm_verify.log
grep -E '^..5' /tmp/rpm_verify.log  # 关注MD5变化的文件

# Webshell检测
find /var/www/ -type f -name "*.php" -exec grep -lF 'eval(' {} \; 2>/dev/null

4. 持久化机制检查

# 定时任务排查
ls -al /etc/cron.*/* /var/spool/cron/
systemctl list-timers --all

# 动态库注入检测
ldd `which sshd` | grep -vE 'linux-vdso|libc.so'
grep -r 'LD_PRELOAD' /etc/ /home/*/ 2>/dev/null

5. 日志深度分析

# 日志时间线重建
journalctl --since "2025-03-01" --until "2025-03-02" --no-pager > /tmp/journal_full.log

# 提权操作检测
grep -E 'sudo:|su:' /var/log/auth.log | grep -v 'session opened'

溯源结论与报告

1. 攻击路径还原

入侵入口：如SSH弱密码、Web漏洞利用
横向移动：内网渗透路径
持久化方式：如cron后门、服务劫持
数据泄露：外联IP/域名、泄露文件类型

2. 影响范围评估

• 受影响系统：
  （服务器列表/网络分段）
• 泄露数据类型：
  （客户信息/代码/凭证等）
• 业务影响等级：
  高危 中危 低危

3. 修复建议

• 紧急处置重置所有受影响账户密码吊销泄露的SSL证书

• 系统加固

# 示例：SSH加固
sed -i 's/#PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config
echo "AllowUsers admin" >> /etc/ssh/sshd_config
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source ip="攻击IP" drop'

• 监控增强
• 通过部署监控工具及时发现攻击行为

证据链保存

• 原始数据归档

tar czvf /evidence/forensic_$(date +%Y%m%d).tar.gz \
/tmp/system_info.txt \
/evidence/memory.raw \
/evidence/*.log

• 哈希校验记录

sha256sum /evidence/* > /evidence/checksums.sha256

入侵攻击手段具有高隐蔽性，入侵者常通过删除日志、篡改时间戳、卸载监控工具等手段掩盖攻击行为。传统文件扫描和日志分析可能失效，需结合进程行为分析、内存取证、网络流量深度检测等综合手段进行排查，结合多种证据来源进行交叉验证。

在事件响应黄金时间线1小时内，需要完成基本信息收集、用户登录检查、进程网络、计划任务、启动项、文件系统、日志分析、历史命令、内核模块、时间线、内存取证等，还需要逐一对结果进行验证。为预防此类行为，管理和技能并用，构建"事前防御-事中监控-事后取证"的全生命周期防护体系，动态的调整安全防护措施，保障系统安全。