Linux溯源：如何通过日志分析定位入侵时间点？

Linux系统入侵后的日志溯源与攻击路径分析

在Linux系统遭受入侵后，快速准确地追溯攻击时间点并定位攻击路径是安全响应中的核心任务。面对海量日志数据、日志篡改或缺失、多维度信息整合等挑战，需要从多个角度进行系统性分析。

1. 日志筛选：从海量数据中提取关键事件

入侵行为往往会在系统日志中留下痕迹，但通常被大量正常操作所掩盖。以下是一些常见的日志文件和关注点：

• /var/log/auth.log（Debian/Ubuntu）或 /var/log/secure（CentOS/RHEL）：记录用户登录尝试、SSH连接、sudo执行等敏感操作。
• /var/log/messages 或 /var/log/syslog：记录系统级事件，包括服务启动失败、异常内核消息等。
• /var/log/wtmp 和 /var/run/utmp：记录用户登录会话信息。
• journalctl（适用于systemd系统）：集中式日志管理系统，支持结构化查询。

推荐使用如下命令快速过滤可疑事件：

grep "Failed password" /var/log/secure
grep "Accepted password" /var/log/secure
journalctl -u sshd --since "1 day ago"

2. 日志完整性受损：恢复与交叉验证策略

攻击者常会删除或篡改日志以掩盖行踪。此时可考虑以下手段进行恢复与交叉验证：

3. 多维度数据关联：锁定入侵窗口期

单一日志源难以确定完整的时间线，需结合以下多种数据源进行综合分析：

1. 登录日志：查看ssh登录时间、源IP、成功/失败尝试。
2. 命令历史记录：用户使用的bash历史保存于~/.bash_history，但可能被清除。
3. 网络连接信息：利用netstat, ss, lsof查找异常监听端口或外连。
4. 进程审计日志：通过auditd记录的系统调用和文件访问行为。

示例命令组合用于构建时间线：

last | grep 'still logged in'
ps -ef | grep defunct
aureport --summary

4. 缺失日志情况下的辅助取证方法

当系统日志无法提供足够信息时，可以借助其他系统机制进行时间线重建：

• 文件修改时间戳：使用stat命令查看文件的访问、修改、变更时间。
• Shell历史记录：即使用户手动清除了.bash_history，有时仍可在内存或临时文件中找到残留记录。
• Auditd审计日志：配置audit规则监控特定文件或系统调用，生成详细操作日志。
• Inotify实时监控：用于检测文件系统变化，适用于事前防御而非事后溯源。

示例auditd规则配置：

auditctl -w /etc/passwd -p war -k etc_passwd_changes
ausearch -k etc_passwd_changes

5. 攻击路径还原流程图

以下是攻击路径还原的整体流程图示意：