香港 服务器木马和后门查杀：常用工具和排查思路

香港服务器遵循一个系统的流程可以避免遗漏。整体思路是：网络行为 -> 运行进程 -> 系统文件 -> 启动项 -> 日志分析。

第一步：检查网络连接 - 发现异常外联

这是最快发现可疑活动的方法。木马/后门通常需要与攻击者的控制服务器（C&C）通信。

1. 查看所有网络连接

   bash

   复制

   下载

   # Linuxnetstat -antlpss -antlp# 重点关注：ESTABLISHED状态的连接，特别是连接到不常见IP或端口的情况# Windowsnetstat -ano

2. 分析连接进程

• 使用 -p 参数（Linux）或查找PID对应的进程（Windows）来定位是哪个程序发起的连接。

• 关键问题：这个连接对应的进程是否是你认识的系统进程或合法服务？它连接的远端IP和端口是否合理？

3. 使用网络监控工具

• iftop（Linux）：实时查看带宽使用情况，发现哪个IP占用了大量流量。

• tcpdump（Linux）：抓包分析，用于深度排查可疑连接的具体内容。

• Wireshark：图形化抓包分析工具，功能强大。

第二步：检查运行进程 - 找出恶意程序

排查在内存中运行的恶意进程。

1. 查看进程树

   bash

   复制

   下载

   # Linuxps auxeftop -chtop# Windowstasklist /svc

• 是否有进程占用了异常高的CPU或内存？

• 进程的命令行参数是否可疑？（例如 /tmp/.xxx 这种隐藏目录下的文件）

• 进程的父进程是谁？一个 bash 的父进程是 apache 就很可疑。

• 关键问题：

2. 使用专业进程分析工具

• unhide（Linux）：专门用于发现Rootkit隐藏的进程。

• Sysinternals Process Explorer（Windows）：微软官方神器，可以查看进程的详细信息、加载的DLL、数字签名等，能轻易发现伪装成系统进程的木马。

第三步：检查系统文件 - 揪出后门文件

木马必定在磁盘上存在一个可执行文件。

1. 查找最近被修改的可执行文件

   bash

   复制

   下载

   # Linux：查找 /usr/bin, /usr/sbin 等目录下最近3天内被修改的文件find /usr/bin /usr/sbin /bin -type f -mtime -3# 查找 /tmp, /var/tmp 等临时目录下的可疑文件find /tmp /var/tmp -type f -mtime -1

2. 查找隐藏文件和无主文件

   bash

   复制

   下载

   # Linux：查找以 "." 开头的隐藏文件find / -name ".*" -type f# 查找属主是未知用户或用户组的文件find / -nouser -o -nogroup

3. 检查文件完整性

• 使用 rpm -Va（RedHat/CentOS）或 debsums（Debian/Ubuntu）来校验系统文件的完整性，看是否被篡改。

• 如果有系统基线或备份，可以进行对比。

第四步：检查启动项和计划任务 - 防止死灰复燃

后门为了持久化，会将自己加入启动项或计划任务。

1. Linux 检查项：

• systemctl list-unit-files --type=service：查看所有服务。

• crontab -l（查看当前用户）和 /etc/crontab 以及 /etc/cron.d/*，/var/spool/cron/*：查看计划任务。

• /etc/rc.local, /etc/init.d/：传统SysVinit启动脚本。

• ~/.bashrc, ~/.profile：用户登录脚本。

2. Windows 检查项：

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

• 启动文件夹：C:\Users\[Username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

• 注册表启动项：

• 使用 Sysinternals Autoruns：这是最强大的工具，可以查看所有自动启动项，包括服务、驱动、浏览器插件等，并高亮显示可疑项。

第五步：分析系统日志 - 追溯攻击源头

日志可以告诉你攻击是如何发生的。

• Linux 主要日志：

• /var/log/secure 或 /var/log/auth.log：查看SSH登录成功/失败记录，排查暴力破解和异常登录IP。

• /var/log/messages 或 /var/log/syslog：通用系统日志。

• last 和 lastb 命令：查看登录历史和历史失败尝试。

• Windows 主要日志：

• 使用“事件查看器”：重点关注“安全”日志（登录事件）、"系统"日志和“应用程序”日志。

常用查杀工具集

将工具分为“基础系统工具”和“专业安全工具”两类。

A. 基础系统工具（系统自带或易获取）

• Linux: netstat, ss, ps, top, find, lsof, rpm -V, last

• Windows: netstat, tasklist, WMIC, 事件查看器

B. 专业安全工具（强烈建议配备）

1. Rootkit 检测工具（Linux）

• chkrootkit: 经典的Rootkit检测工具，能检测多种已知后门。

• rkhunter: 另一个强大的Rootkit检测工具，会检查系统命令、共享库文件等是否被篡改。

• Lynis: 一个安全审计工具，也可以用于检测系统弱点和不安全配置。

2. 恶意软件扫描工具

• ClamAV: 开源的防病毒引擎，可以用于扫描Linux系统。

  bash

  复制

  下载

  freshclam  # 更新病毒库clamscan -r -i /   # 全盘扫描并只显示被感染的文件

• LMD (Linux Malware Detect): 专门为Linux设计的恶意软件扫描器，对Web Shell特别有效。

3. 系统分析神器（Windows）

• Sysinternals Suite: 微软官方出品，必装！

• Process Explorer: 增强型任务管理器。

• Autoruns: 启动项管理至尊。

• Process Monitor: 实时监控文件、注册表、进程活动。

• TCPView: 图形化网络连接查看器。

4. Web Shell 查杀（针对Web服务器）

• Cloudflare Managed Rulesets: 如果使用Cloudflare，可以开启相关WAF规则。

• 各类Web应用防火墙（WAF）: 如 ModSecurity，可以配置规则拦截Web Shell连接。

• 专业Web Shell扫描工具：如 php-malware-finder 等针对特定语言的扫描器。

应急响应流程与最佳实践

1. 隔离系统：立即将服务器从网络中断开（拔网线或禁用网卡），防止继续被控制或横向移动。

2. 取证分析：在断网后，使用上述思路和工具进行排查。不要直接在受损系统上运行来自U盘或网络的可疑工具，最好将磁盘挂载到干净的系统中进行分析。

3. 清除与恢复：

• 确定清除方案：如果能找到明确的木马文件、进程和启动项，可以尝试手动清除。

• 最安全方案：备份数据后，重装系统。这是最彻底、最安全的方法，因为你无法确定攻击者是否留下了更隐蔽的后门。

4. 溯源与加固：

• 分析日志，找出漏洞原因（如弱口令、未修复的漏洞、不安全的服务配置）。

• 修复漏洞，更改所有密码，更新系统和软件。

• 按照安全基线重新配置新系统。

总结：排查清单

记住黄金法则：对于任何严重的安全事件，最可靠的应对措施是隔离、取证，然后从已知的干净备份中恢复，或者直接重装系统。 手动查杀适用于紧急处置和原因分析，但难以保证100%清除。