Linux被入侵后恶意文件自动生成如何应对？

1. 问题背景与现象识别

当Linux系统遭遇入侵后，攻击者通常会部署持久化机制以维持对系统的控制。其中一种常见手段是通过定时任务、服务单元或文件监控工具实现恶意文件的自动再生。运维人员在清理此类文件时，常发现其被删除后短时间内再次出现，形成“清不完、删不净”的困境。

• 典型表现为：/tmp/evil.sh、/var/tmp/update.bin等临时路径下的可疑脚本反复生成。
• 进程行为异常：使用ps auxf发现隐藏进程或伪装成系统进程（如kthreadd）。
• 资源占用突增：CPU或网络连接异常，可能指向C2通信或挖矿程序运行。

这种再生行为往往由多种技术组合触发，需从多个维度进行排查。

2. 常见持久化机制分类

类型	技术载体	触发条件	隐蔽性
定时任务	cron, anacron	按时间周期执行	中
开机启动	systemd服务、rc.local、init.d	系统启动或用户登录	高
文件监控	inotify + 自定义守护进程	文件删除事件	高
内核级后门	rootkit（LKM）、eBPF程序	系统调用劫持	极高
WMI/Scheduled Tasks模拟	利用兼容层工具（如cron替代方案）	自定义调度逻辑	中高
SSH后门	authorized_keys注入、ForceCommand配置	用户登录时激活	中
动态库劫持	LD_PRELOAD、/etc/ld.so.preload	任意程序加载时	高
容器逃逸残留	Kubernetes CronJob、Docker Entrypoint重写	容器重启/调度	高
日志轮转滥用	logrotate脚本注入	日志切割时执行	中
udev规则	/etc/udev/rules.d/	设备插入/移除事件	高

3. 分析流程与溯源路径

1. 确认恶意文件路径及哈希值，使用md5sum /tmp/evil.sh记录指纹。
2. 检查最近修改的定时任务：crontab -l 和 ls /etc/cron*。
3. 审查systemd服务：systemctl list-unit-files --type=service | grep enabled。
4. 查看开机启动项：chkconfig --list（CentOS 6）或 systemctl list-dependencies multi-user.target。
5. 使用inotifywait监控文件变化：
   

   inotifywait -m /tmp/evil.sh --event create,delete,modify

6. 捕获实时进程创建：execsnoop -t（基于bpftrace/BCC工具包）。
7. 分析父进程链：ps auxf结合lsof /tmp/evil.sh定位源头。
8. 检查动态库预加载：cat /etc/ld.so.preload。
9. 审计SSH后门：grep "ForceCommand" /etc/ssh/sshd_config* 及 ~/.ssh/authorized_keys。
10. 排查udev规则：ls /etc/udev/rules.d/ 中是否存在异常规则。

4. 关键检测命令与工具集

# 查看所有启用的服务
systemctl list-unit-files --state=enabled

# 监控文件创建行为（安装inotify-tools）
inotifywait -m -r /tmp /var/tmp /opt --event create

# 使用BCC工具追踪进程执行
/usr/share/bcc/tools/execsnoop -t

# 检查隐藏端口和进程
netstat -tulnp | grep LISTEN
ps aux | grep '\[.\]'  # 隐藏进程命名技巧

# 提取最近被修改的脚本文件
find /bin /sbin /usr/bin /usr/sbin -type f -mtime -7 -perm -111 2>/dev/null

# 审计sudo权限滥用
grep "ALL=(ALL)" /etc/sudoers

5. 根源阻断策略设计

graph TD A[发现恶意文件再生] --> B{是否可稳定复现?} B -->|是| C[部署inotify监控] B -->|否| D[全量扫描持久化点] C --> E[捕获重建进程PID] E --> F[追溯父进程PPID] F --> G[定位启动源:cron/systemd/udev等] D --> H[检查cron, systemd, rc.local, udev, ld.so.preload] H --> I[禁用可疑条目并备份] G --> J[清除源头并验证] J --> K[加固权限与审计策略]

6. 彻底清除与防御加固

• 对于cron任务：删除对应用户的crontab（crontab -r -u attacker），并审查/etc/cron.d/目录。
• systemd服务清理：systemctl stop malicious.service → systemctl disable malicious.service → 删除/etc/systemd/system/malicious.service。
• 使用Lynis进行安全审计：lynis audit system。
• 启用SELinux/AppArmor限制异常行为传播。
• 部署文件完整性监控（FIM）工具如OSSEC或Wazuh。
• 设置只读挂载关键目录：mount -o remount,ro /tmp 或使用bind mount隔离。
• 定期轮换密钥并关闭不必要的SSH认证方式。
• 启用auditd审计关键系统调用：
  auditctl -w /tmp/evil.sh -p wa -k malware_regen
• 构建自动化响应剧本（Playbook），集成SIEM告警联动。
• 对核心服务器实施最小权限原则，避免root长期登录。