系统入侵后的排查思路及心得

入侵后的总结 入侵后的总结 昨天发布Linux被入侵及其如何检查，今天这一篇主要是一些排查思路，仅供大家参考。

写在前面

首先，确保系统密码符合密码复杂度要求（长度大于20个字符，包括大小写、数字等；尽量是无规则的，随机的）。如果因为密码简单而被黑客破解，那是不可原谅的。

可疑进程排查

系统存在异常，肯定存在异常的进程，这些进程要么是疯狂地往外面发包，占用我们的带宽，导致不能对外正常提供服务；要么是后门进程，对外保持一个长连接，以便供黑客利用随时进入系统。

一般情况下，黑客为了掩盖自己的进程，会使用定制过的命令替换原有系统正常的命令。当然，我们使用黑客的命令来查看可疑的进程肯定是得不到结果的。可能会被替换的命令为：ps、netstat、lsof、ss等常用命令。这些命令一般会被黑客放在/usr/bin/dpkg目录下。如果我们发现存在此目录，基本上可以断定系统被入侵了。

这时，可以把正常的系统上的命令复制一份到被入侵的机器上的某个目录下，然后用这些正常的命令来查看系统中正在运行的进程。如果不清楚那些进程是可疑的进程，可以与运行相同业务且正常的机器的进程进行对比。可以把这些进程列表放到文本文件中，通过vimdiff或diff等工具进行比对，找出不同之处。有时可疑进程的名字起的非常巧妙，难以猜测它是否是可疑进程。我见过的可疑进程的名字，如以.开头的进程、如果getty的进程、如3个点的目录（...）等。这些进程都是难以识别的，如以点开头的进程，它对应的文件在操作系统上是隐藏文件；如getty这样的进程与操作系统中的agetty进程类似；如3个点的目录（...）又与操作系统中的当前目录（.）或上一级目录（..）很像。不管是什么样的可疑进程的名字，我们一定要把它记录下来，在后面的时候会用得到。

如果看到了上述描述的进程，可以毫不犹豫地把它们给kill掉。kill掉之后还不算完事，再次检查这些进程是否会自动的启动。一般情况下，这些进程还是会自动启动的。如果不自动启动，那么攻击者就不算是合格的黑客或脚本小子。

定时任务排查

关于可疑进程或文件的自动启动或自动生成。很有可能是由于定时任务被黑客设置了。如果系统重启后，可疑进程照旧还在，那么很有可能是被黑客写到了系统的启动脚本里或者写在了/etc/init.d/目录下。

在上面已经说过，把可以进程的名字记录下来，这时可以用的上。使用这些进程的名字作为关键字匹配系统的启动脚本，如rc.local脚本或/etc/init.d/目录下的脚本。一般情况下，都是找到一些信息的。

定时任务一般不会做什么手脚，关键是系统的启动脚本里动了手脚就不好排查了。

事后总结

事后总结是非常有必要且必须的。总结可以让我们知道我们犯了那些大忌；总结可以让我们知道黑客的惯用手法；总结可以让我们知道我们还有什么地方没有做好等。

找到问题根源，修复或改进，然后就重新安装系统吧！