Linux 文件及相关安全操作指南
Linux根目录项一行说明
一、Linux 根目录各文件夹一行说明(基础回顾)
| 根目录文件夹 | 一行核心用途 |
|---|---|
bin |
系统启动与普通用户可用的基础可执行程序(如ls、cp) |
boot |
启动相关文件(内核vmlinuz、初始内存盘initrd.img、bootloader 配置) |
dev |
设备节点(硬件 / 虚拟设备映射,如/dev/sda、/dev/null) |
etc |
系统核心配置目录(服务、用户、网络、权限配置均在此) |
home |
普通用户家目录(每个用户的个人文件 / 配置存放地,如/home/user) |
initrd.img |
当前系统的初始内存盘镜像(启动时挂载,辅助加载根文件系统) |
initrd.img.old |
历史版本初始内存盘镜像(用于内核回滚) |
lib |
系统 / 程序依赖的 32 位共享库(与bin/sbin配套) |
lib32 |
64 位系统中兼容 32 位程序的共享库 |
lib64 |
64 位系统的核心共享库 |
lost+found |
ext 系列文件系统修复后,存放找回的损坏文件 |
media |
可移动介质自动挂载点(如 U 盘、光盘插入后默认挂载路径) |
mnt |
管理员手动挂载临时文件系统的目录(如挂载外部硬盘) |
opt |
第三方大型软件安装目录(如数据库、工业软件常放于此) |
proc |
内核 / 进程信息虚拟文件系统(实时显示 PID、内存占用等,非实际磁盘文件) |
root |
超级用户(root)的家目录 |
run |
系统运行时临时数据(PID 文件、socket、服务状态,重启后重置) |
sbin |
管理员专用可执行程序(如fsck磁盘修复、ifconfig网络配置) |
srv |
系统服务的数据目录(如 HTTP 服务的网站文件、FTP 服务的共享文件) |
sys |
sysfs 虚拟文件系统(内核暴露的硬件设备树、驱动信息) |
tmp |
全用户可写的临时文件目录(重启后通常清空) |
usr |
只读共享资源目录(/usr/bin用户程序、/usr/lib库、/usr/share文档) |
var |
可变数据目录(日志、邮件、数据库、包缓存,内容随系统运行动态变化) |
vmlinuz |
当前系统的压缩内核镜像(bootloader 启动时加载的核心文件) |
vmlinuz.old |
历史版本内核镜像(用于内核回滚) |
在应急响应 黑客常用修改目录
一、最高优先级(攻击者最常动手的地方)
/etc(系统配置,总览)
-
目的:控制系统认证、服务、开机行为、权限与环境。
-
可能的修改(高层):替换/新增配置条目以改变认证、持久化后门、放宽权限、在启动时执行恶意程序。
-
可观测迹象:配置文件修改时间异常、出现未知 unit/配置项、登录异常、异常服务启动。
常见痕迹:
/etc/passwd, /etc/shadow
目的:创建、修改或隐藏账户与凭证以获得/维持长期访问与提权(例如后门账号、伪装 root、长期免审计访问)
可能的修改:
- 在
/etc/passwd中新增用户或组条目以隐藏后门账号; - 把非预期用户的 UID 改为
0(伪装 root); - 更改用户的登录 shell(改为
/bin/sh、/bin/bash或/usr/sbin/nologin)或 home 目录以隐藏文件; - 在
/etc/shadow中替换或注入密码散列(以便攻击者可用已知散列登陆); - 将密码直接写入
/etc/passwd(历史/错误做法)或把/etc/shadow权限放宽; - 删除或修改条目以隐藏真实登录痕迹(配合日志清理)
- 可观测迹象:出现未知用户、UID 异常(如非系统用户却为 0)、文件 mtime 改变。
可观测迹象(异常指标):
- 出现未知用户或 UID(尤其是 UID=0 的非预期账户);
/etc/passwd或/etc/shadow的修改时间(mtime)异常,与系统补丁/管理员操作时间不符;/etc/passwd中密码字段不是x(表示密码不在 shadow,而在 passwd,异常);/etc/shadow中出现可疑散列格式或完全为空白字段(如无密码);- 登录记录与用户列表不一致(
last/lastlog没有对应记录); - 包管理器或备份对比提示校验失败。
/etc/sudoers, /etc/sudoers.d/
目的:控制哪些用户/组可以以特权身份执行哪些命令;攻击者修改此处可在不知情的情况下获得无提示提权(例如免密 sudo)。
可能的修改:
- 在
/etc/sudoers或/etc/sudoers.d/中新增条目,给指定用户/组NOPASSWD:权限,使其无需密码即可执行特权命令; - 放宽命令过滤,允许运行任意命令或一组危险命令(如
/bin/sh、/usr/bin/vim等); - 新增或替换文件以绕开配置审计;在
/etc/sudoers.d/放置名字看似正常但实际生效的文件(例如用迷惑性文件名); - 修改
Defaults条目(如Defaults !requiretty、Defaults visiblepw)以弱化安全限制或启用不安全行为。
可观测迹象
/etc/sudoers或/etc/sudoers.d/中出现刚创建或修改的文件/条目;- 不存在于配置管理记录里的
NOPASSWD条目或新用户被授予 sudo 权限; visudo编辑历史与实际修改时间不一致;- 系统审计/日志(如
/var/log/auth.log)中出现异常的 sudo 执行或来自非管理员用户的特权命令执行记录。
/etc/ssh/sshd_config
控制 SSH 服务(
sshd)的认证方式、监听端口、远程登录策略
可能的修改
- 更改监听端口(
Port 22→Port 2222等),以隐藏服务或绕过防火墙策略 - 开启 root 登录:把
PermitRootLogin从prohibit-password/no改为yes - 允许密码登录:
PasswordAuthentication yes(攻击者可暴力或利用已知密码登录) - 禁用日志或审计:通过
SyslogFacility/LogLevel改为QUIET; - 修改认证方式:添加自定义的
AuthorizedKeysFile、PermitEmptyPasswords yes; - 添加
ForceCommand或Match条件语句,在特定用户登录时执行隐藏命令; - 替换 HostKey 路径,以隐藏真实主机指纹;
- 加入
AllowUsers/DenyUsers条目,仅允许攻击者控制的账号。
可观测迹象
/etc/ssh/sshd_config的修改时间(mtime)异常;sshd服务监听了非标准端口(22以外);PermitRootLogin yes或PasswordAuthentication yes;- 系统日志
/var/log/auth.log中出现来自新端口的 SSH 登录; sshd服务由非 root 用户或异常路径启动;- auditd 或 systemd 记录到
sshd_config的修改
/etc/systemd/system/、/lib/systemd/system/
目的:配置 systemd unit(服务、timer、socket 等),控制服务的启动、停止、重启及开机自启;攻击者利用该路径实现系统级持久化、自动重启后门或以服务方式隐蔽运行恶意程序。
可能的修改
- 在目录中新增恶意
.service、.timer、.socket文件以实现开机或定时持久化; - 篡改已有 unit 的
ExecStart、ExecStartPre、ExecStartPost、Restart、User字段,使其启动后门或以非预期用户运行; - 创建
*.wants/*.requires的 symlink 或在/etc/systemd/system/multi-user.target.wants/放入恶意链接以启用自启动; - 利用
Drop-in(/etc/systemd/system/<unit>.d/*.conf)覆盖或注入额外指令到原有单元; - 修改 unit 文件权限或时间戳以隐藏篡改;
- 将 unit 指向位于
/tmp、/var/tmp、/usr/local/bin等非标准位置的可执行文件(便于替换与隐蔽)。
可观测迹象:
- 目录中出现未知或最近新增的 unit 文件名(尤其是名字模仿系统服务但格式微妙不同);
systemctl list-units --all出现不熟悉的服务或处于enabled/running状态的可疑服务;- unit 文件的 mtime/ctime 与系统正常维护时间不匹配;
ExecStart指向的可执行文件路径异常或位于临时目录;- 存在
.ddrop-in 目录并包含非标准配置; systemctl is-enabled <unit>返回enabled且存在对应 symlink(如/etc/systemd/system/multiuser.target.wants/<unit>.service);- systemd 日志(
journalctl -u <unit>或journalctl -b)显示异常启动记录或重复重启; - 单元的
User字段为非预期用户(例如以root以外的低权限用户运行敏感服务或反过来)。
/etc/ld.so.preload
目的:控制系统在加载动态库时预先加载指定库,攻击者通过修改此文件可以注入恶意共享库,实现系统级 rootkit 或隐藏后门功能(hook 系统调用、监控用户操作、捕获密码、隐藏文件/进程/网络连接)
可能的修改
- 添加恶意共享库路径(如
/tmp/libmalicious.so、/usr/local/lib/libbackdoor.so)以 hook 系统调用; - 替换原有条目,注入攻击者自定义库;
- 利用动态库注入隐藏文件、进程或网络连接(rootkit 行为);
- 权限放宽(例如 world-writable),便于后续再次修改;
- 配合系统启动或 cron 等机制实现长期持久化。
可观测迹象
- 文件
/etc/ld.so.preload存在非标准路径或未知库名; - 文件修改时间(mtime)与系统正常维护时间不符;
- 文件权限异常(非 root 独占读写);
- 系统行为异常:
ls不显示部分文件,ps不显示部分进程,网络连接被隐藏等; - 动态库路径指向临时目录或非标准目录;
- 使用
ldd检查常用二进制出现异常库依赖。
/etc/profile, /etc/bash.bashrc
可能的修改
- 在文件末尾或关键位置 追加
source/.指向外部脚本(如/tmp/...、/var/tmp/...、用户家目录),以在每次登录时执行后门或下载器。 - 注入或修改环境变量(如
PATH、LD_PRELOAD、LD_LIBRARY_PATH),通过环境劫持优先加载恶意二进制或库。 - 直接在文件中插入匿名后台命令(条件触发型:仅在特定主机名/用户时执行)。
- 修改 shell 启动行为(设置
HISTFILE为/dev/null或清空历史、修改PROMPT_COMMAND以记录/清除历史)。 - 添加
umask/权限更改或创建隐藏文件/目录以存放持久化工具
可观测的异常迹象
/etc/profile或/etc/bash.bashrc的mtime/ctime与已知维护时间不符;- 文件中出现
source/.指向非常规路径(/tmp、/var/tmp、用户目录)或不可识别的脚本路径; - 出现
LD_PRELOAD、LD_LIBRARY_PATH、或非常规PATH前缀被export; - 登录后看到额外的后台进程、异常网络连接、或多个用户有同样异常环境;
HISTFILE被改指向/dev/null或PROMPT_COMMAND中含有清历史/上传命令
/var
系统的可变数据存放区,包含日志、spool(邮件/cron)、缓存、运行时文件、数据库与应用数据;攻击者利用
/var放置持久化文件、隐藏数据、截断/篡改日志或作为临时执行/持久化目录。
常见痕迹:
/var/log/
目的:存放系统与服务运行时产生的日志(认证、内核、系统服务、应用、审计等),用于审计、故障排查与事件取证
可能的修改
- 截断或删除日志文件以抹去入侵痕迹;
- 伪造/篡改日志内容以掩盖真实事件;
- 修改 logrotate 配置或轮转策略使得旧日志不可用或被覆盖;
- 将重要日志转发或复制到攻击者控制的位置(或停止转发到远端 SIEM);
- 在
/var/log下放置恶意大文件、隐藏数据或临时缓冲窃取的数据
可观测迹象:
- 关键日志(如
auth.log、syslog、secure、应用日志)被截断(文件大小骤减)或时间戳异常; - 日志缺失时间段或事件不连续(例如登录/ sudo 事件断层);
- 新增或异常大的压缩/轮转日志(
.gz)或被频繁改动的轮转配置; /var/log某些子目录出现长期驻留的可执行文件或非正常大文件;- 日志转发停止或配置被篡改(syslog/rsyslog/journalctl 相关设置异常)
/var/spool/cron/、/etc/cron.*
目的:通过定时任务周期性执行脚本或命令以实现持久化、定时回连、定期数据窃取或任务触发(包括开机 @reboot 型任务)
可能修改
- 在用户或 root 的 crontab(
/var/spool/cron/下的文件)中新增或修改条目以执行恶意脚本; - 在系统级 cron 目录(
/etc/cron.hourly、/etc/cron.daily、/etc/cron.d、/etc/cron.weekly、/etc/cron.monthly)放置脚本或定时任务文件; - 使用
@reboot、短间隔(如* * * * *)或隐藏时间表达式来提高持续性或躲避检测; - 放置脚本在
/etc/cron.d/或以看似合法名字覆盖/掩盖真实意图; - 修改 crontab 脚本内容以下载/执行外部 payload 或清理日志
可观测迹象
/var/spool/cron/中出现未知用户的 crontab 文件或文件 mtime 异常;/etc/cron.*下出现新文件、可执行脚本或脚本名模仿系统脚本但内容异常;- 有频繁的定时网络连接或在非工作时间的异常外连流量;
- cron 执行日志中出现未知命令或错误输出(syslog/journal 中有 cron 触发记录);
- crontab 中命令指向
/tmp、/var/tmp、或非标准路径的可执行文件。
/var/tmp/, /var/run/
/var/tmp/:存放可跨重启保留的临时文件,攻击者可能利用它放置长期驻留的可执行文件、缓存或数据窃取缓冲区。
/var/run/(现通常为/run的挂载点):存放运行时的 PID、socket、lock、state 文件,攻击者可能利用它放置 socket/pid 以维持或隐藏运行态组件、与本地进程通信或劫持服务
可能的修改(高层描述)
- 在
/var/tmp/放置长期存在且可执行的二进制或脚本(规避/tmp短期清理); - 把恶意库、凭证或数据缓冲文件写到
/var/tmp/; - 在
/var/run/创建或替换 socket、pid、lock 文件以让恶意服务看起来像正常服务或拦截/代理本地通信; - 修改
/var/run/下已有 pid/socket 指向或权限,令运维难以发现异常; - 利用
/var/tmp/作为 drop-in 存放被轮换/隐藏的数据(例如把窃取的数据先缓存在这里再分批外传)。
可观测迹象
/var/tmp/中存在长期未变动但可执行的文件(非预期的大文件或可执行);/var/tmp/中文件时间戳(mtime/ctime)异常、文件名像随机字符串或模仿系统文件名;/var/run/下出现异常 socket/pid 文件(名称与系统服务不符、指向不存在的进程);- 具有非标准所有者/权限的文件或 socket(例如普通用户可写、world-writable);
- 在服务重启/系统启动后仍看到
/var/tmp/被利用的可执行文件被调用或/var/run/中的 socket 被程序使用; - 非常规网络/本地连接行为(通过 unix socket 的异常流量或频繁重建 pid 文件)。
/usr/bin, /usr/local/bin, /bin, /sbin
存放系统与用户可执行程序:
/bin、/sbin:系统启动与管理所需的基础命令(root/系统优先)。/usr/bin:大多数用户级程序和工具。/usr/local/bin:管理员/本地安装的软件与脚本(通常用于第三方或本地部署,不由系统包管理器管理)。
可能的修改(高层描述)
- 用木马替换或放置伪装成系统命令的可执行文件(例如替换
ps/ss/netstat/ls以隐藏进程/连接)。 - 在
/usr/local/bin放入长期驻留的后门二进制或脚本,且通过 PATH 劫持优先执行。 - 修改文件权限为 SUID/SGID 或放置带有异常权限的可执行文件以便提权。
- 在这些目录中放置名字很像系统命令但内容不同的文件(迷惑运维),或用软链接指向非标准位置的恶意程序。
- 将文件时间戳、大小或哈希伪造来规避简单检测。
可观测迹象
- 系统命令的哈希与发行版包不一致(
sha256sum/包校验不同); /usr/local/bin中出现可执行但不属于任何包的二进制;- 常用命令(如
ps、ss、netstat、ls)的文件大小、mtime 与参考主机不一致; - 出现意外的 SUID/SGID 文件(
-rwsr-xr-x等); - PATH 中优先目录包含
/tmp、/var/tmp或/usr/local/bin,且这些目录下存在高风险文件; - 可执行文件所有者/权限异常或 world-writable。
二、次高优先级(辅助持久化或藏身点)
/root:
目的:root 用户的家目录,存放 root 的私钥、shell 启动文件、临时脚本与运维/管理用的敏感文件;攻击者若获得 root 权限常在此放后门、私钥或清理痕迹。
可能的修改(高层描述):
- 在
/root/.ssh/放入/替换公钥/私钥以实现免密远程登陆; - 修改
/root/.bash_history(清空或替换)以抹去操作痕迹; - 在
/root放置隐藏脚本、可执行程序或持久化工具(常以点文件或随机名形式); - 修改
/root/.bashrc、/root/.profile注入启动时执行的恶意命令; - 在
/root放置凭证文件(API token、配置备份)以便离线窃取; - 改变文件/目录权限使得非 root 用户也能读写(便于持久化或误导检查)。
可观测迹象:
/root/.ssh/authorized_keys中出现未知公钥或文件 mtime 异常;/root/.bash_history时间戳被重写或内容异常短(被清空);/root下出现近期新增的可执行文件、隐藏文件或大体积文件;.bashrc/.profile被修改以source非标准路径或包含网络/下载工具调用;/root下文件权限异常(非 root 拥有或 world-writable);- 在日志中发现 root 的交互/登录记录与 history 不一致(例如
last有操作但.bash_history没记录)。
/home/
普通用户的家目录集合,存放用户数据、配置文件(
.ssh、.bashrc、.config等)、私钥、应用缓存与用户启动脚本。攻击者利用/home放置后门、植入授权密钥、清除或伪造痕迹、通过用户权限横向移动或持久化。
可能的修改(高层描述):
- 在用户的
~/.ssh/authorized_keys中加入攻击者公钥以实现免密登录; - 修改
~/.bashrc、~/.profile、~/.config/autostart等以在用户登录时执行恶意脚本或启动后门; - 清空或篡改
~/.bash_history、~/.zsh_history以抹去操作记录; - 在用户目录放置可执行文件、脚本、或隐藏目录(点文件)用于长期驻留或数据缓存;
- 在应用配置或缓存中(如
~/.cache、~/.config、浏览器/加密钱包目录)窃取凭证或持久化窃取工具; - 利用弱权限将敏感文件(私钥、api token)外泄或被其他本地用户读取。
可观测迹象:
~/.ssh/authorized_keys出现未知条目或时间戳异常;- 多个用户的
~/.bashrc/~/.profile同时含有相似可疑source/命令; - 用户历史文件 (
.bash_history等) 被清空或时间戳被篡改; /home下出现近期新增的可执行文件或点文件(.something),尤其位于~/tmp、~/.cache、~/.local/bin;- 用户进程在非交互时段发起外连或有异常流量;
- 某些用户目录的文件权限被异常放宽(非所有者读写)。
三、中等优先级(运行时、内核相关)
/lib, /lib64, /lib/modules/
目的:存放系统共享库与内核模块,攻击者利用这些位置植入或替换共享库与内核模块以实现深度持久化、系统调用劫持、隐蔽行为(rootkit)或在内核层面隐藏进程/网络/文件
可能的修改(高层描述):
- 在
/lib或/lib64中放置或替换恶意.so动态库,被ld.so.preload或可执行程序加载后拦截/劫持系统调用; - 在
/lib/modules/<kernel-version>/中添加未签名或伪造签名的内核模块以加载 rootkit 功能; - 修改或替换标准库(例如 libc 的某些组件)以改变系统行为或隐藏痕迹;
- 改变库或模块的权限以便非特权用户也能修改;
- 使用软链接把标准库路径指向攻击者控制的目录下的库。
可观测迹象(异常指标):
/lib、/lib64中出现未知或非发行版提供的.so文件;/lib/modules/<version>/中出现最近新增的模块文件或文件时间戳与内核更新不符;- 存在未签名或签名与发行版不匹配的模块;
- 常用库的哈希与干净主机/官方包不一致;
- 系统行为异常(
ps/ls/ss输出不完整)、内核模块列表含未知模块、dmesg/journalctl有模块加载异常日志。
/proc
目的:由内核导出的虚拟文件系统,实时反映进程、内核状态、网络栈与硬件信息;攻击者若在内核或用户空间做隐蔽,会通过篡改或 hook
/proc的输出来隐藏进程、端口或文件,从而逃避检测。
可能的“修改”/滥用方式(高层、非操作性):
- 通过加载内核模块或注入恶意内核/用户态 rootkit 改变
/proc中的显示(使某些 PID、进程名或网络连接在ps/ss/ls中不可见); - 替换/劫持负责呈现
/proc内容的内核接口或用户态工具,使得/proc/*输出被篡改或过滤; - 在
/proc/*/exe、/proc/*/fd所映射的可执行/文件句柄上做混淆(例如用链接或替身隐藏真实路径信息)。
可观测迹象(异常指标):
ps/top列表与/proc直接列出项不一致(交叉比对显示差异);- 在
/proc中存在 PID 目录但ps -p <pid>不显示(或反之); /proc/modules或lsmod中出现未知模块、或模块信息与发行版/已知模块不一致;/proc/net/tcp、/proc/net/udp与ss/netstat输出不匹配(隐藏的监听/连接);/proc/kallsyms或 dmesg 输出中有异常符号/加载记录(表明有未登记的内核扩展);- 读取
/proc/<pid>/exe//proc/<pid>/cmdline显示与实际 bin hash/路径不一致。
四、低优先级(通常不被修改,但可被利用)
/tmp, /dev/shm
目的:系统和应用的临时存放区(短期或跨进程共享的临时文件);攻击者常用它们上传/执行临时 payload、缓存窃取的数据、放置运行时可执行文件或作为持久化/逃逸点(尤其在
/tmp未被定期清理或无noexec时)。
可能的修改 / 滥用(高层描述):
- 在
/tmp或/dev/shm放置可执行脚本或二进制并运行(用于临时后门、下载器、挖矿等); - 将敏感数据暂存到这些目录(随后分批外传);
- 在
/dev/shm创建共享内存段或 socket 用于进程间通信或隐蔽控制通道; - 将可信程序的临时运行文件替换为恶意文件(通过 race /替换临时文件名,或利用程序在 tmp 下写入可执行文件的习惯)。
可观测迹象(异常指标):
/tmp或/dev/shm中存在近期新增且具有可执行权限的文件;- 文件名看起来随机/可疑(长随机串或模仿系统文件但位置异常);
- 出现大体积文件或长期驻留的文件(本应短期存在);
- 可执行文件的所有者/权限异常(world-writable、非预期用户拥有);
- 运行时发现进程使用
/tmp或/dev/shm中的非常规可执行文件或 unix sockets; - 重启后某些
/tmp下文件仍被反复使用(说明被持久化脚本再次放回或引用)。
/boot
目的:存放引导加载器与内核相关的静态引导文件(内核映像
vmlinuz、initramfs/initrd、GRUB 配置与引导模块),决定系统如何启动并在最早阶段加载必要驱动与根文件系统
目的:存放引导加载器与内核相关的静态引导文件(内核映像 vmlinuz、initramfs/initrd、GRUB 配置与引导模块),决定系统如何启动并在最早阶段加载必要驱动与根文件系统。
可能的修改(高层描述):
- 替换或篡改内核映像(
vmlinuz)或 initramfs(initrd/initramfs)以在引导时植入后门或绕过安全检查; - 修改或替换 GRUB 配置(如
/boot/grub/grub.cfg)来加载非默认内核、插入参数(例如禁用安全检查)或添加隐藏的启动项; - 添加恶意的 bootloader 模块或替换已签名的引导组件以实现引导级持久化(比用户空间更高权限、难以检测);
- 删除旧内核或轮换设置以掩盖变更历史或妨碍回滚到安全内核;
- 修改引导文件权限或伪造时间戳以掩盖篡改行为。
可观测迹象(异常指标):
/boot下内核或 initramfs 文件的mtime/ctime与系统打补丁或管理员操作时间不匹配;- 出现未知或异常命名的内核/ initramfs 文件(例如随机名或非发行版命名规范);
grub.cfg或 GRUB 相关文件修改时间异常、配置里出现陌生启动项或不明linux/initrd路径;- 引导时出现不可解释的 kernel command line 参数、系统无法按预期进入正常运行级别,或出现 boot-time 异常日志;
- 在启用 Secure Boot 的系统上,内核/模块或引导组件的签名状态异常(签名缺失或不匹配)。
五、低风险(一般安全)
-
/media, /mnt, /opt, /srv, /run, /sys,
一般仅挂载点或服务数据,不常被持久化使用(除非攻击者想藏文件)。
/media:
目的:系统自动挂载可移动媒体(USB、光盘等)的挂载点;攻击者可能通过插入可执行或含恶意文件的移动介质将恶意代码带入主机。
可能的修改(高层):挂载点被用来临时放置恶意二进制或脚本,或自动执行(若系统/桌面环境配置不当);恶意设备可能包含篡改的文件供后续执行。
可观测迹象:出现非预期的挂载(mount 输出有新设备)、/media 下出现陌生目录或可执行文件、记录中有外部设备插入时间与不明文件拷贝记录。
/mnt:
目的:管理员手工临时挂载点(用于维护、手动挂载远程文件系统或临时检查);通常不应长期存放运行时程序。
可能的修改(高层):被滥用为长期挂载或放置可执行文件;攻击者或运维误用可能把敏感数据或后门放在此处。
可观测迹象:/mnt 下存在长期文件或可执行、被意外当作持久目录使用、挂载表中有未知远端挂载。
防守/检测命令:
/opt:
目的:第三方或本地安装的附加软件目录(大型第三方应用通常放这里),常由管理员手工管理。
可能的修改(高层):攻击者在此放置或替换第三方程序/后门,借用看似合法的目录隐蔽运行。
可观测迹象:/opt 下出现未知程序或二进制、文件属主/权限异常、未登记在配置管理系统中的新软件。
/srv:
目的:为系统提供的服务存放数据(例如 web/ftp 服务的站点文件);常用来放置生产服务的数据或静态内容。
可能的修改(高层):在服务目录中植入 webshell、后门脚本或篡改站点内容以注入恶意载荷或持久后门。
可观测迹象:网站内容被篡改、出现未记录的脚本或可执行文件、web 日志出现异常请求或上传痕迹。
防守/检测命令
/run(或 /var/run):
目的:运行时数据(PID 文件、socket、lock 文件);反映当前系统运行时状态。
可能的修改(高层):攻击者可在此创建伪装的 pid/socket 以显得某服务在运行,或利用 socket 与本地进程通信。
可观测迹象:存在与进程不对应的 pid 文件、异常 unix socket、权限异常的运行时文件。
防守/检测命令:
/sys:
目的:sysfs,内核导出设备与内核属性的虚拟文件系统,用于查看/调节硬件与内核参数(只读或受限写)。
可能的修改(高层):攻击者难以直接持久化写入 /sys(多数为虚拟节点),但可通过加载内核模块或利用内核漏洞修改内核态,从而间接改动 /sys 行为或暴露恶意接口。
可观测迹象:/sys 中设备或属性异常被修改、unusual writable attributes 被利用、内核模块创建了新的 sysfs 节点。