一、应急响应前置原则1.先取证后操作不重启、不删进程、不修改日志避免销毁入侵痕迹2.隔离优先受感染主机立即断网物理 / 防火墙拉黑 IP防止横向渗透、数据外传3.全程留痕所有操作记录时间、命令、输出留存操作日志用于溯源复盘4.分层处置先止损 → 取证 → 溯源 → 清除恶意载荷 → 加固复盘二、阶段 1事件确认与隔离1. 判定告警类型常见入侵特征1.异常外联、对外挖矿 / 木马 C2 端口2.陌生高占用 CPU / 内存进程、定时任务3.新增未知用户、sudo 提权记录4.Web 目录木马、webshell、病毒文件5.日志大量爆破、异常登录、root 异地登录2. 主机隔离二选一1.物理隔离拔掉网线彻底阻断网络2.逻辑隔离防火墙封禁本机出站 / 入站仅保留运维内网管理端口阻断横向扩散。# 临时阻断所有出站流量仅留ssh内网iptables-POUTPUT DROP iptables-AOUTPUT-s本机IP-d运维管理网段-ptcp--dport22-jACCEPT3. 初步快照取证不中断恶意进程1.系统基础信息uname-a;cat/etc/os-release;uptime;date2.进程、端口、连接快照psauxfps_bak.txt#进程netstat-antupnet_bak.txt#端口ss-antupnet_bak.txt#恶意外联lsof-ilsof_bak.txt#恶意外联3.登录、用户、定时任务last;lastlog;cat/etc/passwd /etc/shadowuser_bak.txtcrontab-l;ls-l/etc/cron.*cron_bak.txt4.挂载、启动项mount;ls-l/etc/rc.d/rc.local /etc/systemd/system/boot_bak.txt三、阶段 2全面取证1.可疑进程排查无路径、无父进程、隐藏进程psauxf|grep-E(defunct|tmp|/dev/shm)ls-lh/proc/[PID]/exe# 查看进程真实文件路径查找删除仍在运行的恶意程序lsof|grepdeleted2.恶意文件路径/tmp、/var/tmp、/dev/shm、/root/.xxx 隐藏目录find/tmp /dev/shm-typef-mtime-1-execls-lh{}\;3.账号与权限提权痕迹可疑后门账号grep-vx:0:/etc/passwd|grep:0:UID0 后门账号 SUID 提权木马find /-perm-40002/dev/nullsudo异常记录grepsudo/var/log/secure4.计划任务挖矿、持久化后门重灾区# 用户级定时任务crontab-l-uroot# 系统全局定时任务ls-l/etc/cron.hourly /etc/cron.daily /etc/cron.weekly /etc/cron.monthly /etc/cron.dcat/etc/crontab# systemd定时器systemctl list-timers四、常见应急及排查方式服务器挖矿病毒1.排查占用CUP高的进程tophtop2.排查恶意的链接ss-antuplsof-i#外联3333/4444/14444/5555 等矿池端口ss-antup|grep-E3333|4444|144443.找进程#拿到可疑 PID 后查看程序真实路径ls-lh/proc/[可疑PID]/exe#查找挖矿关键字进程psaux|grep-Eminer|xmrig|kdevtmpfsi|stratum|sysupdate|ddgs4.杀掉进程# 强制终止进程-9 不可忽略kill-9[可疑PID]# 批量终止所有相关子进程pkill-f[恶意进程名]pkill-fkdevtmpfsipkill-fxmrigpkill-fminerd5.删除恶意文件# 删除恶意可执行文件rm-f/path/to/malicious/file# 删除 systemd 服务systemctl stop[恶意服务名]systemctl disable[恶意服务名]rm-f/etc/systemd/system/[恶意服务名].service无法删除或者删除后重启1.查询病毒进程的PIDtop-c2.通过 systemctl status PID 命令 查询进程启动流程 systemctl status12343.直接定位到病毒对的具体位置4.删除执行程序 和 相关.service6.定时任务1.2.3./tmp、/dev/shm、/var/tmp存在无权限陌生二进制文件4. crontab、systemd 存在定时拉取恶意脚本任务文件排查ls-alt#查找72小时内新增的文件find/-ctime-2#文件日期、新增文件、可疑/异常文件、最近使用文件、浏览器下载文件/tmp#临时目录find/ *.jsp-perm4777#查找777的权限的文件(可以将文件名进行修改php、py、html、sh等)日志排查grepFailed password for root/var/log/secure|awk{print $11}|sort#查看爆破主机的ROOT账号的IPgrepAccepted /var/log/secure*|awk{print $1,$2,$3,$9,$11}#查看登录成功的日期、用户名及IP/var/run/utmp#有关当前登录用户的信息记录用户/etc/shadow 密码登陆相关信息uptime查看用户登陆时间 /etc/sudoers 查看sudo用户列表awk-F:{if($30)print $1}/etc/passwd 查看UID为0的帐号 lastb 用户错误的登录列表