如何深入排查并修复Linux系统中被篡改的常用系统命令的根源?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1044个文字,预计阅读时间需要5分钟。
发现常用命令行异常(如ls不显示隐藏文件、ps漏掉进程、netstat报错或无输出),极可能是命令二进制被替换或持有关键数据。无法直接重装或删除,需先确认篡改范围和频率,再基于可信源恢复。
先交叉验证是否真被篡改
攻击者常污染 $PATH 或替换高频命令,但往往忽略冷门工具或静态可执行文件。别急着修,先用以下方式交叉判断:
- 用绝对路径调用未被污染的校验工具:如
/usr/bin/sha256sum /bin/ls(避开 PATH 污染); - 查文件元数据:运行
stat /bin/ls,重点关注mtime(修改时间)和ctime(状态变更时间)——若出现在非运维时段(如凌晨2:17),且无对应日志记录,高度可疑; - 用包管理器核对:RHEL/CentOS 执行
rpm -Vf /bin/ls,Debian/Ubuntu 执行debsums -s /bin/ls;输出含 S(大小变)、5(sha256 校验失败)、T(时间戳异常)即确认被改; - 对比官方哈希:从同版本 ISO 镜像中提取原始
/bin/ls,本地计算sha256sum并比对。
本文共计1044个文字,预计阅读时间需要5分钟。
发现常用命令行异常(如ls不显示隐藏文件、ps漏掉进程、netstat报错或无输出),极可能是命令二进制被替换或持有关键数据。无法直接重装或删除,需先确认篡改范围和频率,再基于可信源恢复。
先交叉验证是否真被篡改
攻击者常污染 $PATH 或替换高频命令,但往往忽略冷门工具或静态可执行文件。别急着修,先用以下方式交叉判断:
- 用绝对路径调用未被污染的校验工具:如
/usr/bin/sha256sum /bin/ls(避开 PATH 污染); - 查文件元数据:运行
stat /bin/ls,重点关注mtime(修改时间)和ctime(状态变更时间)——若出现在非运维时段(如凌晨2:17),且无对应日志记录,高度可疑; - 用包管理器核对:RHEL/CentOS 执行
rpm -Vf /bin/ls,Debian/Ubuntu 执行debsums -s /bin/ls;输出含 S(大小变)、5(sha256 校验失败)、T(时间戳异常)即确认被改; - 对比官方哈希:从同版本 ISO 镜像中提取原始
/bin/ls,本地计算sha256sum并比对。