首先通过ps、top、netstat等命令排查异常进程,再结合文件属性与网络连接分析定位恶意程序,最后利用安全工具实现持续监控与告警。
在Linux系统中,识别和检测恶意进程是保障系统安全的重要环节。攻击者常通过植入后门、提权或伪装成合法服务的方式运行恶意程序。掌握异常进程的排查方法,能帮助管理员及时发现潜在威胁。
检查可疑进程的基本命令
通过标准工具查看当前运行的进程,是发现异常的第一步。重点关注无名进程、资源占用异常或路径可疑的条目。
- ps aux:列出所有进程详细信息,注意USER为root但CMD路径非常规的项
- top 或 htop:动态查看CPU/内存占用高的进程,快速定位异常行为
- ps -ef --forest:以树状结构展示父子进程关系,识别隐藏在正常服务下的子进程
分析进程路径与文件属性
很多恶意进程会使用随机命名或藏匿于临时目录。验证执行文件的真实性和权限设置至关重要。
- 检查进程对应二进制路径是否在标准位置(如 /usr/bin、/bin),避免出现在 /tmp、/dev/shm 等敏感目录
- 使用 ls -la /proc/[PID]/exe 查看可执行文件链接,确认是否指向可疑文件
- 用 file /proc/[PID]/exe 判断文件类型,非ELF格式却在后台运行需警惕
- 结合 stat 命令查看文件创建时间,若与系统更新时间不符可能为新植入程序
网络连接与端口监听排查
恶意进程常建立外连或开启监听端口用于远程控制。监控网络活动有助于发现隐蔽通信。
- netstat -tulnp 或 ss -tulnp:列出所有监听端口及对应进程PID
- 关注非标准端口(如4444、6666)或来自未知IP的ESTABLISHED连接
- 配合 lsof -i :[PORT] 追踪具体进程打开的网络句柄
- 对无法解析路径的进程(deleted或anon_inode)重点审查
利用安全工具辅助检测
手动排查效率有限,借助专业工具可提升检测精度和覆盖范围。
- chkrootkit 和 rkhunter:扫描已知rootkit特征,包括隐藏进程和技术绕过迹象
- auditd:配置系统审计规则,记录关键进程启动行为
- sysdig 或 auditctl:深入追踪系统调用,发现异常execve调用模式
- 部署EDR类工具(如Wazuh、Osquery)实现持续监控和告警
基本上就这些。保持系统更新、限制不必要的服务权限、定期巡检进程列表,能有效降低被持久化攻击的风险。发现可疑进程后,应先隔离再深入分析,避免直接终止导致证据丢失。
