云服务器木马清除与加固实操指南
一、处置流程总览
- 隔离与止血:立即将受感染实例从内网/公网隔离(如调整VPC/安全组仅允许堡垒机或管理网段访问),避免横向扩散与矿池回连。
- 快速定位:优先观察是否存在CPU长期≥80%、未知进程持续外连等异常;已接入云安全中心的,按安全告警处理先终止恶意进程并隔离文件。
- 深度查杀:对关键目录与自启动项做病毒查杀,清理持久化痕迹。
- 全面体检:对系统盘/数据盘做全盘/无代理检测,按风险项逐一修复。
- 加固与复盘:修补漏洞、重置凭据、收敛暴露面、审计日志并制定复测计划。
以上做法可在云安全中心落地为“告警处置→深度查杀→全盘检测”的三步走,未接入时可按相同思路手工执行。
二、Linux系统手动清除步骤
- 阻断恶意通信
- 查看连接:netstat -antp;对可疑外联IP(如矿池/远控C2)立即封禁:
iptables -A INPUT -s -j DROP
iptables -A OUTPUT -d -j DROP
- 清理持久化
- 计划任务:crontab -l、crontab -u -l;检查并清理
/etc/crontab、/var/spool/cron、/etc/anacrontab、/etc/cron.d/、/etc/cron.*
- systemd 自启动:systemctl list-unit-files | grep enabled;禁用并删除可疑服务单元
systemctl disable ;rm /etc/systemd/system/.service
- 其他自启动:/etc/rc.local、/etc/inittab、/etc/rc.d/、/etc/init.d/
- 预加载劫持:检查 /etc/ld.so.preload,若异常则清空:> /etc/ld.so.preload
- SSH后门:清理 ~/.ssh/authorized_keys 与 /root/.ssh/authorized_keys 中的未知公钥
- 可疑账号:审计 /var/log/audit/audit.log 或 /var/log/secure 的 useradd;核对 /etc/passwd 与 /etc/shadow,删除异常账号
- 终止进程与清理文件
- 定位高占用或异常进程:top -c、ps -eo pid,ppid,cmd,%cpu --sort=-%cpu
- 获取可执行文件路径:ls -al /proc/$PID/exe;计算哈希:md5sum /proc/$PID/exe(可提交威胁情报平台核验)
- 结束并删除:kill -9 $PID;rm -f <恶意文件路径>
- 对抗“防删”与命令篡改
- 文件不可改属性:chattr -i /etc/passwd /etc/crontab 等后再编辑/删除
- 恢复被劫持命令:若 top/ps/pstree 被改名为 .original,执行
mv /bin/ps.original /bin/ps;mv /bin/top.original /bin/top;mv /bin/pstree.original /bin/pstree
- 一键阻断矿池回连的补充做法
- 在云安全中心对“矿池通信行为”告警执行阻断,或将矿池IP加入安全组黑名单,为清理争取时间。
三、Windows系统处置要点
- 隔离与断网:在控制台隔离实例或收紧安全组入/出站规则,仅保留运维通道。
- 结束与隔离:通过任务管理器/安全工具结束可疑进程,隔离对应文件。
- 清理持久化:检查并删除可疑的
- 启动项(注册表 Run/RunOnce、启动文件夹)、服务、计划任务、浏览器扩展与启动脚本
- 修复系统命令与取证:若系统命令被替换,使用系统安装介质或PE环境恢复;对可疑文件计算哈希并在多引擎平台(如VirusTotal)核验。
- 凭据与日志:重置本地/域/数据库/应用密码;审计安全事件日志(登录成功/失败、账户变更、策略变更)。
- 工具选择:优先使用具备“云查杀、漏洞修复、异常登录提醒、防暴力破解”等能力的服务器安全产品(如安骑士/云安全中心客户端)进行查杀与加固。
四、加固与防复发
- 漏洞与组件:及时更新操作系统/中间件/CMS/数据库补丁;清理无用组件与默认示例。
- 身份与访问控制:禁用或删除默认/弱口令账户;开启MFA;最小权限与分权分域;限制SSH/RDP来源IP;必要时修改默认端口并配合密钥登录。
- 网络与边界:收敛暴露面,仅开放必要端口;对管理口与业务口分层;使用安全组/NACL白名单策略;对可疑域名/IP进行黑名单拦截。
- 监测与响应:开启主机安全/入侵检测与日志审计;建立基线巡检与告警处置SOP;定期做漏洞扫描/配置核查/渗透测试。
- 备份与演练:建立离线/异地备份与恢复演练机制,确保可在必要时快速回滚到干净状态。
五、何时重装与取证
- 出现以下任一情形,建议直接备份必要数据并重装系统,再恢复业务:
- 内核/系统命令被深度篡改、存在rootkit迹象或无法稳定清除;
- 多轮清理后反复复发,或发现可疑内核模块、启动扇区/引导区异常;
- 业务连续性要求高且无法在窗口内完成彻底取证与加固。
- 取证建议:在隔离环境下对内存/磁盘做镜像;保留关键日志(安全、系统、应用、命令历史);对可疑样本计算哈希并留存;必要时联系云厂商或专业安全团队协助溯源。
