云服务器木马传播方式

云服务器木马常见传播方式

核心传播路径

• 远程登录暴力破解与凭证窃取：针对SSH/RDP等管理端口进行暴力破解或复用泄露凭证，获取系统权限后植入木马并长期驻留。部分木马会写入root/.ssh/authorized_keys实现持久化，甚至通过修改LD_PRELOAD等方式屏蔽安全工具检测。
• 漏洞利用与横向移动：未修复的操作系统/中间件/应用漏洞是高频入口，入侵后在内网横向扩散，扩大控制面。
• 供应链与镜像/脚本投毒：篡改开源组件、更新脚本、容器镜像、运维工具包等，借“合法更新”夹带后门；此类木马常伪装为可信更新或通过HTTPS加密流量绕过检测。
• 云存储与容器平台滥用：对象存储桶公开读写被批量上传恶意容器镜像/归档，在Kubernetes等平台自动拉取运行并扩散，进而劫持云函数等资源进行挖矿或外泄数据。
• 钓鱼与社会工程：通过钓鱼邮件/链接/文档诱导下载执行木马，或骗取API Key/数据库凭证后远程植入。
• 弱口令与配置不当：弱口令、默认口令、开放不必要端口/服务、权限过宽等，使暴力破解与未授权访问更易成功。

典型攻击链示例

• Linux挖矿木马“云铲”：以硬编码的云平台网段IP为起点扫描，实施SSH暴力破解传播；下载主模块、恶意链接库与开源挖矿程序；通过LD_PRELOAD屏蔽命令对恶意实体/进程的查找；向root/.ssh/authorized_keys写入公钥实现持久化。
• 供应链木马“白象”变种：篡改开源运维工具包的更新插件植入后门，利用合法数字签名绕过检测；感染后通过SSH横向扩散，窃取数据库凭证/API密钥；C2伪装为云服务API（如api.cloud-ops.*.io）并使用HTTPS加密通信。
• 云环境蠕虫“云劫”：利用存储桶公开读写批量上传恶意容器镜像，在Kubernetes集群自动扩散；劫持云函数（Lambda）挖矿并篡改日志；C2域名动态轮换（如*.cdn-proxy.*.net）以逃避封锁。

易被利用的高风险配置

• 暴露管理端口与弱口令并存：对SSH/RDP等管理端口缺乏限制与强口令策略，极易被暴力破解。
• 存储桶/镜像仓库权限错误：对象存储桶公开读写、容器镜像来源不可信或未校验，导致恶意内容被自动拉取运行。
• 未打补丁与暴露面过大：系统/中间件/应用存在已知漏洞且对外暴露，成为入侵突破口。
• 缺乏网络分段与最小权限：Kubernetes等平台未做网络分段/准入控制，账户与权限分配过宽，便于横向移动与提权。

快速自查要点

• 是否存在异常的CPU/内存/带宽占用（如持续接近100%）与可疑进程。
• /root/.ssh/authorized_keys、~/.ssh/known_hosts是否出现未知公钥或异常条目。
• crontab -l、/etc/rc.local、systemd服务、LD_PRELOAD等是否被植入异常内容或启动项。
• /var/log/ 中auth.log/secure、syslog是否出现大量失败登录或异常外连。
• 是否从非官方渠道拉取或更新过开源组件/容器镜像/运维脚本。