Ubuntu应急响应实战指南（手把手教你应对Linux系统安全事件）

第一步：确认事件并隔离系统

发现异常（如CPU飙升、未知进程、异常网络连接等）后，首要任务是防止攻击扩散。

• 如果该服务器非关键业务，建议立即断开网络（拔网线或禁用网卡）。
• 若不能断网，可使用防火墙临时阻断外部访问：

sudo ufw default deny incomingsudo ufw enable

注意：操作前请确保你有本地或带外管理权限（如IPMI、KVM），避免被锁在系统外。

第二步：收集关键信息（取证阶段）

在系统仍运行时，尽快收集以下信息。这些数据对后续分析至关重要。

1. 查看当前登录用户和会话

whowlast

2. 检查可疑进程

ps auxfpstree -p

重点关注 CPU 或内存占用异常、名称可疑（如随机字符串）的进程。

3. 检查网络连接

ss -tulnpnetstat -tulnp   # 若未安装 netstat，可运行 sudo apt install net-tools

注意是否有连接到陌生IP的ESTABLISHED连接，尤其是非常用端口（如 4444、6667 等）。

4. 查看系统日志（Ubuntu日志分析）

关键日志文件包括：

• /var/log/auth.log：记录SSH登录、sudo操作等认证事件。
• /var/log/syslog：系统综合日志。
• /var/log/kern.log：内核日志。

例如，查看最近的SSH失败登录尝试（常见于暴力破解）：

grep "Failed password" /var/log/auth.log | tail -n 20

第三步：排查入侵痕迹

重点检查以下位置：

• 定时任务（Cron）：攻击者常通过cron持久化后门。

crontab -l          # 当前用户sudo crontab -l      # root用户ls /etc/cron.d/

• 启动项和服务：

systemctl list-unit-files --type=service | grep enabled

• 新增用户或SSH公钥：

cat /etc/passwdls -la ~/.ssh/authorized_keys /root/.ssh/authorized_keys

第四步：清除威胁与系统加固

一旦确认入侵点，应：

1. 删除恶意文件、用户、定时任务。
2. 重置所有相关账户密码（尤其是root和sudo用户）。
3. 更新系统补丁：

sudo apt update && sudo apt upgrade -y

4. 配置更安全的SSH策略（如禁用root登录、改用密钥认证）。
5. 启用并配置UFW防火墙，仅开放必要端口。

第五步：总结与预防

完成应急响应后，务必撰写事件报告，记录时间线、攻击手法、影响范围及改进措施。同时，建议：

• 定期备份重要数据。
• 部署入侵检测系统（如fail2ban、OSSEC）。
• 对运维人员进行安全培训，提升整体安全意识。

掌握这套Ubuntu应急响应流程，不仅能快速应对突发安全事件，还能有效提升系统的整体防御能力。记住：安全不是一次性的任务，而是持续的过程。

关键词回顾：Ubuntu应急响应、Linux安全事件处理、系统入侵排查、Ubuntu日志分析。