Linux系统命令被篡改怎么办_完整性校验排查方法【指导】

系统被篡改时应优先隔离取证，用绝对路径调用可信工具、比对官方哈希、检查stat时间戳、包管理器验证（如rpm -Vf）交叉确认；批量筛查核心命令与可疑二进制；通过重装或离线ISO恢复；部署AIDE、内核lockdown、只读挂载等长效防护。

Linux系统命令被篡改，说明系统可能已失陷，不能直接信任当前运行的命令（比如ls、ps、netstat甚至sha256sum本身都可能被替换）。关键在于：**用未被污染的手段验证文件真实性，并优先隔离、取证、恢复**。

确认是否真被篡改

别急着修复，先交叉验证。攻击者常替换常用命令但忽略冷门工具或静态二进制：

• 用绝对路径调用可信工具：如/usr/bin/sha256sum /bin/ls（避免PATH污染）；
• 对比官方哈希值：从同一版本ISO镜像中提取/bin/ls，本地计算sha256sum比对；
• 检查文件元信息：stat /bin/ls看mtime、ctime是否异常（如发生在凌晨2点且无运维操作）；
• 用包管理器自查：rpm -Vf /bin/ls（RHEL/CentOS）或debsums -s /bin/ls（Debian/Ubuntu），输出含S（大小变）、5（校验和错）即为异常。

快速定位被改命令范围

单个命令异常往往不是孤立事件，需批量筛查高频入口点：

论小文

可靠的论文写作助手，包含11种学术写作类型，万字论文一键生成，可降重降AIGC，参考文献真实可标注，图表代码均可自定义添加。

431

查看详情

• 检查/bin、/usr/bin、/sbin、/usr/sbin下核心命令：用for i in ls ps top netstat ifconfig; do rpm -Vf /usr/bin/$i 2>/dev/null || echo "$i: not rpm-managed"; done；
• 扫描可疑可执行文件：find /bin /usr/bin -type f -perm /111 -size -500k -exec sha256sum {} \; | sort，观察是否有大量哈希值重复（可能是同个后门二进制覆盖多个命令）；
• 检查$PATH开头目录：echo $PATH | tr ':' '\n'，重点审查/usr/local/bin、~/bin等非系统默认路径是否混入恶意软链接或二进制。

安全恢复被篡改命令

修复动作必须基于可信源，禁止在疑似被控系统上下载或编译：

• 从原厂软件包重装：如发现/usr/bin/curl异常，运行yum reinstall curl（RPM系）或apt install --reinstall curl（DEB系）；
• 用离线可信介质恢复：挂载原始安装ISO，从中拷贝干净二进制，例如mount -o loop CentOS-7-x86_64-DVD.iso /mnt && cp /mnt/Packages/curl-*.rpm ./ && rpm2cpio curl-*.rpm | cpio -idmv，再提取./usr/bin/curl；
• 若整个/usr/bin不可信，优先恢复sha256sum、cp、chown等基础工具，再逐步重建信任链。

建立长效完整性防护

事后加固比临时修复更重要，目标是让下次篡改能被秒级发现：

• 部署AIDE：安装后立即初始化数据库aide --init，将生成的aide.db.new.gz重命名为aide.db.gz，加入crontab每日自动aide --check并邮件告警；
• 启用内核模块保护：加载kernel lockdown（如CONFIG_SECURITY_LOCKDOWN_LSM=y），阻止未签名模块加载和/proc/sys/kernel/kptr_restrict绕过；
• 限制命令执行权限：对非管理员用户禁用sudo执行敏感命令，用chmod 700 /usr/bin等缩小可写范围（注意不影响服务运行）；
• 启用只读挂载：将/usr、/boot等关键分区设为ro（只读），异常时需显式remount rw才可修改。

以上就是Linux系统命令被篡改怎么办_完整性校验排查方法【指导】的详细内容，更多请关注php中文网其它相关文章！