服务器入侵应急处置：痕迹清理、漏洞封堵与事后加固全流程

服务器入侵应急处置流程

痕迹清理

发现入侵后需立即切断网络连接，防止攻击者持续渗透。使用ps -ef和netstat -antp命令检查异常进程与网络连接，终止可疑进程并记录PID。重点检查/tmp、/dev/shm等临时目录，删除恶意文件时需同步清理crontab定时任务。

登录日志分析应覆盖/var/log/secure、/var/log/auth.log及~/.bash_history，特别注意非正常时间段的登录记录。Web应用需检查access_log中异常请求路径，如/admin.php等敏感路径的访问记录。

漏洞封堵

通过rpm -Va或dpkg --verify校验系统文件完整性，比对重要配置文件哈希值。更新所有软件包至最新版本，优先修补已披露的CVE漏洞，如OpenSSL、SSH等服务组件。

防火墙规则需重置为最小化开放策略，禁用非必要端口。使用iptables -A INPUT -p tcp --dport 22 -s trusted_ip -j ACCEPT实现源IP白名单控制。Web应用漏洞应部署WAF规则临时拦截攻击流量，同时修复SQL注入、文件上传等代码层缺陷。

事后加固

启用SELinux或AppArmor强制访问控制，配置/etc/sysctl.conf强化内核参数，如net.ipv4.tcp_syncookies=1防SYN洪水攻击。实施SSH证书登录替代密码认证，设置PermitRootLogin no禁用root直接登录。

建立持续监控机制，部署OSSEC等HIDS工具监测文件变更。定期进行漏洞扫描与渗透测试，关键业务系统建议部署网络隔离与双因素认证。完善备份策略，采用3-2-1原则保留离线备份副本。

溯源与报告

收集/var/log/目录下所有日志文件，使用logrotate确保日志连续性。网络流量捕获可通过tcpdump -i eth0 -w capture.pcap留存证据。编制详细的事件报告，包含时间线、影响范围和处置措施，向相关监管机构报备重大安全事件。