① 检测 XFRM 模块异常加载 普通用户进程(非网络管理工具)调用 XFRM netlink 接口是强烈的攻击指示器: lsmod | grep -E 'esp4|esp6|rxrpc' 若以上模块在非 IPsec/AFS 环境下意外加载,需立即排查。 ② 验证 /usr/bin/su 完整性 rpm -Vf /usr/bin/su # RHEL/Fedoradpkg --verify passwd # Debian/Ubuntu 注意:磁盘文件校验通过不代表页缓存未被篡改。若怀疑已被利用,立即清除页缓存: sudo echo 3 > /proc/sys/vm/drop_caches ③ 社区检测规则集 GitHub 仓库 thrandomv/cve-2026-31431-detection 提供 Sigma、Falco、auditd、KQL(Microsoft Sentinel)、EQL(Elastic)规则集,可直接导入 SIEM。 |