当 Linux 服务器被入侵时，快速进行取证分析有助于了解攻击的途径、范围和影响，从而制定有效的修复与防御策略。以下是一个详细的取证分析指南，帮助您在入侵事件发生后保护证据、分析攻击源，并恢复系统安全。

1. 事件发生后的第一步

1.1 立即隔离服务器

• 断开网络连接： 防止攻击者继续访问服务器或删除证据，同时阻止恶意程序传播。
• bash
• 复制
• ifconfig eth0 down
• 或使用防火墙：
• bash
• 复制
• iptables -A INPUT -j DROP iptables -A OUTPUT -j DROP
• 不要重启服务器： 重启可能会导致内存中的关键证据丢失。

1.2 保护证据完整性

• 挂载磁盘为只读： 防止进一步的文件篡改：
• bash
• 复制
• mount -o remount,ro /
• 创建磁盘镜像： 使用 dd 工具创建磁盘的完整镜像，用于后续分析：
• bash
• 复制
• dd if=/dev/sda of=/mnt/backup/server_image.dd bs=64K conv=noerror,sync
• 使用 sha256sum 对镜像文件生成校验值，确保完整性：
• bash
• 复制
• sha256sum /mnt/backup/server_image.dd > /mnt/backup/checksum.txt

2. 入侵分析的准备工作

2.1 检查时间线

• 同步时间： 确保服务器时间准确，以便日志分析：
• bash
• 复制
• timedatectl
• 记录当前时间： 在取证报告中标记分析的起始时间。

2.2 分析工具准备

安装常用的取证工具（如未安装，可先挂载磁盘到其他系统进行分析）：

• 日志分析工具：grep、awk、journalctl
• 网络分析工具：netstat、ss、tcpdump
• 文件系统分析工具：find、lsof、stat
• 恶意软件检测工具：chkrootkit、rkhunter、ClamAV

3. 取证分析的关键步骤

3.1 检查用户行为

1. 检查最近登录记录：
2. 查看登录用户的 IP 地址和时间：
3. bash
4. 复制
5. last lastb # 查看失败的登录尝试
6. 分析登录来源是否有未知或可疑 IP。
7. 检查用户账户：
8. 查看系统中是否新增了未知用户：
9. bash
10. 复制
11. cat /etc/passwd
12. 检查哪些用户具有 root 权限：
13. bash
14. 复制
15. cat /etc/sudoers
16. 确保 /etc/passwd 和 /etc/shadow 未被篡改。

3.2 分析日志文件

1. SSH 登录日志：
2. 检查 /var/log/auth.log（Ubuntu/Debian）或 /var/log/secure（CentOS/RHEL）：
3. bash
4. 复制
5. grep "Accepted" /var/log/auth.log grep "Failed password" /var/log/auth.log
6. 检查是否有短时间内多次失败的登录尝试（暴力破解）。
7. 系统日志：
8. 查找异常行为或错误：
9. bash
10. 复制
11. journalctl -p err
12. 查看服务启动/停止记录：
13. bash
14. 复制
15. journalctl -u <service_name>
16. 应用日志：
17. 检查 Web 服务器日志（如 Nginx、Apache）是否有恶意请求：
18. bash
19. 复制
20. tail -n 100 /var/log/nginx/access.log grep "POST" /var/log/nginx/access.log

3.3 检查文件篡改

1. 检查最近修改的文件：
2. 查找最近 7 天内被修改的文件：
3. bash
4. 复制
5. find / -mtime -7 -ls
6. 检查可疑文件：
7. 查找常见的恶意文件存放目录：
8. bash
9. 复制
10. ls -lh /tmp /var/tmp /dev/shm
11. 检查是否有隐藏文件或目录：
12. bash
13. 复制
14. find / -name ".*" -ls
15. 检查系统二进制文件：
16. 确认系统关键二进制文件（如 /bin/ls、/usr/bin/ssh）是否被替换：
17. bash
18. 复制
19. sha256sum /bin/ls
20. 对比校验值是否与官方版本一致。

3.4 检查网络活动

1. 检查当前网络连接：
2. 查看是否有不明外部连接：
3. bash
4. 复制
5. netstat -tulnp ss -tulnp
6. 解析未知 IP 地址：
7. bash
8. 复制
9. whois <IP>
10. 检查网络流量：
11. 使用 tcpdump 捕获流量并分析：
12. bash
13. 复制
14. tcpdump -i eth0 -w network_capture.pcap
15. 检查开放端口：
16. 查找是否有未授权的端口被打开：
17. bash
18. 复制
19. lsof -i

3.5 检查恶意软件

1. 使用 Rootkit 检测工具：
2. chkrootkit：
3. bash
4. 复制
5. chkrootkit
6. rkhunter：
7. bash
8. 复制
9. rkhunter --check
10. 使用 ClamAV 扫描文件：
11. 安装并更新病毒库：
12. bash
13. 复制
14. apt install clamav freshclam
15. 扫描整个系统：
16. bash
17. 复制
18. clamscan -r --remove /

3.6 检查计划任务

• 查看是否有恶意定时任务：
• bash
• 复制
• crontab -l cat /etc/crontab ls /etc/cron.d/

4. 取证报告的编写

在完成上述分析后，整理取证报告，包括以下内容：

1. 入侵路径： 攻击者通过哪些途径（如 SSH 暴力破解、漏洞利用）入侵服务器。
2. 影响范围： 哪些文件被修改，是否有后门程序，数据是否泄露。
3. 时间线： 从入侵到检测的完整时间线。
4. 攻击来源： 攻击者使用的 IP 地址、工具和行为模式。
5. 证据清单： 保存的日志文件、网络流量捕获文件、磁盘镜像等。

5. 修复与加强安全

5.1 修复系统

1. 删除恶意文件：
2. 删除所有已知的恶意文件和后门。
3. 重新安装被篡改的软件：
4. bash
5. 复制
6. apt reinstall <package_name>
7. 重置用户密码：
8. 更改所有用户的密码，确保使用强密码：
9. bash
10. 复制
11. passwd <username>

5.2 加强安全

1. 禁用 Root 登录：
2. 编辑 /etc/ssh/sshd_config：
3. plaintext
4. 复制
5. PermitRootLogin no
6. 启用多因素认证（MFA）：
7. 配置 Google Authenticator 或 Duo Security。
8. 限制 SSH 访问：
9. 更改默认端口：
10. bash
11. 复制
12. Port 2222
13. 仅允许可信 IP 登录：
14. bash
15. 复制
16. ufw allow from <trusted-ip> to any port 2222
17. 启用日志监控：
18. 使用工具（如 Wazuh、OSSEC）实时监控服务器日志。
19. 定期更新系统和软件：
20. 修补已知漏洞：
21. bash
22. 复制
23. apt update && apt upgrade -y

6. 总结

Linux 服务器被入侵后，取证分析是找出入侵原因、评估影响范围和制定修复措施的关键。通过以下步骤，可以高效完成入侵后的取证工作：

1. 隔离服务器并保护证据完整性。
2. 分析用户行为、日志文件、网络活动和文件系统。
3. 使用工具检测恶意软件和后门程序。
4. 编写详细的取证报告并评估影响。
5. 修复系统并加强安全防护，防止再次被入侵。

通过完善的取证分析和安全加固策略，可以有效保障服务器的长期安全性。