CentOS安全事件调查实战指南（手把手教你排查Linux系统安全入侵）

一、确认系统是否已被入侵

首先，我们需要判断系统是否存在异常行为。常见的入侵迹象包括：

• 未知用户登录
• CPU或内存使用率异常飙升
• 系统中出现陌生进程或文件
• 防火墙规则被修改
• SSH 登录失败次数激增

二、检查系统日志（关键步骤）

日志是调查安全事件的核心依据。CentOS 默认将日志存储在 /var/log/ 目录下。以下是几个关键日志文件：

• /var/log/secure：记录所有与认证相关的事件（如 SSH 登录）
• /var/log/messages：系统通用日志
• /var/log/audit/audit.log：如果启用了 auditd 服务，会记录详细操作

使用以下命令查看最近的 SSH 登录尝试：

# 查看成功登录记录grep "Accepted" /var/log/secure# 查看失败登录记录grep "Failed" /var/log/secure# 按 IP 统计失败次数awk '/Failed password for/ {print $(NF-3)}' /var/log/secure | sort | uniq -c | sort -nr

三、检查可疑用户和权限

攻击者常会创建新用户或提升权限。运行以下命令检查异常账户：

# 查看所有用户awk -F: '$3 >= 1000 && $1 != "nobody" {print}' /etc/passwd# 检查具有 root 权限的用户grep -v "^#" /etc/sudoers | grep "ALL=(ALL)"# 检查 UID 为 0 的非 root 用户（高危！）awk -F: '($3 == "0") {print}' /etc/passwd

四、排查可疑进程与网络连接

使用 netstat 或 ss 查看异常网络连接，结合 lsof 和 ps 定位可疑进程：

# 查看所有监听端口ss -tulnp# 查找非标准端口（如 31337、666 等）ss -tuln | grep -E ':(31337|666|1337|4444)'# 查看占用高 CPU 的进程top -c# 根据 PID 查看进程详细信息（替换 <PID> 为实际进程号）lsof -p <PID>

五、检查定时任务与启动项

攻击者常利用 crontab 或 systemd 服务实现持久化。检查方法如下：

# 查看当前用户的定时任务crontab -l# 查看系统级定时任务ls -la /etc/cron.*cat /etc/crontab# 检查 systemd 自定义服务systemctl list-unit-files --type=service | grep enabledls /etc/systemd/system/

六、文件完整性检查

使用 AIDE（Advanced Intrusion Detection Environment）可检测关键系统文件是否被篡改。安装并初始化 AIDE：

# 安装 AIDEyum install aide -y# 初始化数据库aide --initmv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz# 执行检查（后续可定期运行）aide --check

七、总结与建议

完成以上步骤后，你应能初步判断系统是否被入侵，并定位攻击痕迹。为了加强Linux系统安全，建议采取以下措施：

• 定期更新系统和软件包（yum update -y）
• 禁用 root 远程登录，使用密钥认证替代密码
• 配置防火墙（firewalld 或 iptables）限制访问
• 部署日志集中管理（如 ELK 或 rsyslog）
• 定期进行CentOS日志分析和安全入侵排查

安全无小事。通过系统化的CentOS安全事件调查流程，你可以快速响应威胁，最大限度减少损失。希望本教程能为你提供实用帮助！