Linux系统命令被篡改怎么办_完整性校验排查方法【指导】

系统被篡改时应优先隔离取证，用绝对路径调用可信工具、比对官方哈希、检查stat时间戳、包管理器验证（如rpm -Vf）交叉确认；批量筛查核心命令与可疑二进制；通过重装或离线ISO恢复；部署AIDE、内核lockdown、只读挂载等长效防护。

Linux系统命令被篡改，说明系统可能已失陷，不能直接信任当前运行的命令（比如ls、ps、netstat甚至sha256sum本身都可能被替换）。关键在于：**用未被污染的手段验证文件真实性，并优先隔离、取证、恢复**。

确认是否真被篡改

别急着修复，先交叉验证。攻击者常替换常用命令但忽略冷门工具或静态二进制：

• 用绝对路径调用可信工具：如/usr/bin/sha256sum /bin/ls（避免PATH污染）；
• 对比官方哈希值：从同一版本ISO镜像中提取/bin/ls，本地计算sha256sum比对；
• 检查文件元信息：stat /bin/ls看mtime、ctime是否异常（如发生在凌晨2点且无运维操作）；
• 用包管理器自查：rpm -Vf /bin/ls（RHEL/CentOS）或debsums -s /bin/ls（Debian/Ubuntu），输出含S（大小变）、5（校验和错）即为异常。

快速定位被改命令范围

单个命令异常往往不是孤立事件，需批量筛查高频入口点：

标签： linux centos ubuntu 工具 curl ai linux系统