一、网络流量与嗅探行为检测
-网卡混杂模式检测
检查网卡是否处于Promiscuous混杂模式,识别是否存在内网嗅探、密码抓取等监听行为。
-网络连接与外联行为审计
枚举全量网络连接,统计外联目标 IP 与端口,识别异常 C2 远控、反弹 Shell、挖矿矿池连接。
-监听端口合规性检查
枚举全量监听端口,排查非业务端口、高位后门端口、异常监听服务。
-DNS 与 Hosts 文件篡改检查
核查/etc/resolv.conf、/etc/hosts是否存在恶意劫持、域名重定向、钓鱼配置。
二、无文件攻击与内存驻留程序检测
-已删除文件进程排查
遍历/proc/[pid]/exe,识别磁盘文件已删除但仍在内存运行的进程,定位无文件木马、Rootkit、内存挖矿程序。
-系统资源异常占用分析
提取 CPU、内存占用 Top 进程,识别异常高耗资源进程、匿名进程、无描述进程等挖矿 / 木马特征。
-隐藏进程与异常进程树分析
结合进程父子关系、启动参数、执行路径,排查伪装进程、孤儿进程、恶意守护进程。
三、系统命令与关键文件完整性校验
-系统核心二进制文件校验
使用rpm -V等包管理器校验ls、ps、netstat、top、sshd、login等系统工具完整性,识别被替换、植入后门的系统命令。
-SUID/SGID 权限文件审计
扫描全局 SUID/SGID 可执行文件,排查异常提权文件、非系统默认提权程序。
-临时目录恶意文件排查
审计/tmp、/var/tmp等可写目录,识别隐藏脚本、ELF 木马、下载器、反弹 Shell 工具。
-关键文件防篡改属性检查
检查系统文件是否被chattr +i等方式锁定,识别 Rootkit 对抗查杀、阻止清理的行为。
四、账号权限与 SSH 认证安全审计
-特权账号合规检查
核查/etc/passwd,排查非 root 但UID=0的超级权限账号。
-可登录账号与密码策略审计
分析/etc/shadow,识别空密码、弱密码、异常启用的登录账号。
-Sudo 权限滥用检查
审计/etc/sudoers及相关配置,识别非法ALL=(ALL) NOPASSWD等高风险授权。
-SSH 免密公钥排查
遍历/root/.ssh/、/home/*/.ssh/authorized_keys,识别未授权、陌生、跨域公钥植入。
-SSH 登录劫持检测
检查sshrc、.bashrc、.profile、/etc/profile.d等登录加载项,识别登录即触发的恶意脚本。
五、持久化机制与自启动项排查
-定时任务恶意指令扫描
审计/etc/crontab、/etc/cron.d/*及所有用户 crontab,识别包含bash -i、nc、curl、wget、python等反弹、下载、外联特征的恶意任务。
-Systemd 服务与开机启动项审计
核查 enabled 状态服务、自定义 service 文件、/etc/rc.local,排查伪装系统服务、恶意自启动脚本。
-启动脚本与 rc 系列文件检查
检查系统启动阶段执行脚本,识别开机隐蔽执行的持久化后门。
六、日志审计与入侵痕迹溯源
-SSH 暴力破解行为统计
分析/var/log/secure、auth.log等安全日志,提取高频失败登录 IP,识别爆破行为。
-成功登录会话审计
提取近期成功登录记录、登录来源 IP、登录时间与终端,定位异常登录。
-账号与权限变更审计
检索useradd、userdel、usermod、passwd等操作日志,识别非法账号创建、提权行为。
-历史命令敏感操作溯源
审计.bash_history等命令历史,检索wget、curl、tar、chmod、chattr、ssh、nc等敏感操作,还原攻击链路。
10个月宝宝每天需要喝多少奶粉?
