怎样发现高防服务器木马

高防服务器木马发现与排查指南
一 核心思路与准备

• 高防能缓解流量型攻击，但无法阻止木马通过应用漏洞、弱口令、供应链等途径入侵。发现木马的关键是“取证优先、隔离观察、最小改动”，避免直接在生产环境上大范围清理导致证据丢失或进程自保护触发。
• 准备与保护
• 先对当前状态做“快照”：记录IP、主机名、系统版本、时间，并留存取证所需信息（进程、连接、账号、定时任务等）。
• 优先在离线/只读或救援模式下取证；如必须在在线环境，先限制外联（仅允许DNS/管控通道），避免木马回连C2或扩散。
• 全程开启并备份系统与安全日志（如 Linux 的 auth.log、syslog；Windows 安全事件），为后续溯源提供依据。

二 快速排查清单

• 账号与登录
• 检查是否存在新增/隐藏账号、异常UID=0账户；排查net user / cat /etc/passwd等。
• 审计登录日志：Linux 查看/var/log/auth.log，Windows 查询安全事件4624等成功登录，定位异常时间/IP。
• 网络连接与进程
• 列出ESTABLISHED连接与LISTEN端口，定位异常外联与可疑进程：Linux 用netstat -anp / ss -antp / lsof -i -P -n，Windows 用Get-NetTCPConnection。
• 对高占用或来历不明的进程，记录PID→可执行文件路径→启动参数，必要时先隔离（禁网/暂停）再取证。
• 启动项与持久化
• 检查系统自启动与计划任务：Windows 用msconfig / 任务计划程序 / 服务，Linux 查/etc/rc.local、/etc/init.d、/etc/cron*、systemd 服务。
• 挖矿/后门常见短周期任务（如每15分钟拉取执行脚本），需重点排查crontab -l与系统级定时任务。
• 命令与环境完整性
• 验证ps、top、netstat、ls、cd等基础命令是否被替换/劫持（对比which/whereis路径与哈希）。
• 检查LD_PRELOAD、PATH等是否被篡改，防止加载恶意库或劫持执行流。
• Web 与应用层
• 排查网站目录是否存在Webshell（如一句话木马、冰蝎、哥斯拉特征）、异常上传目录、被篡改的首页/配置文件。
• 结合Nginx/Apache/PHP访问与应用日志，定位可疑UA、URL、POST 参数、来源 IP。
• 文件完整性
• 查找最近修改/新增的可疑文件：Linux 用find / -mtime -2 -ls，对关键系统/网站文件做哈希校验并与备份比对。

三 高级检测与取证

• 主机行为异常检测
• 监控CPU/内存/磁盘IO/网络异常尖峰；对异常进程父子关系、隐藏网络连接、异常内核模块/驱动进行深度排查。
• 网络侧心跳与隐蔽通道识别
• 对流量按五元组分组，做分簇+时序分析，识别具有稳定间隔的“心跳”行为（常见于C2 心跳），并辅以频域分析降低误报；输出可疑IP 对与通信规律，用于封堵与溯源。
• 日志与取证
• 集中收集并分析系统日志、安全日志、Web 访问与应用日志，保留原始日志与取证镜像，便于后续法务与溯源分析。

四 常用工具与命令示例

• Linux 常用
• 连接与进程：netstat -anp | grep ESTABLISHED、ss -antp、lsof -i -P -n | grep LISTEN、ps auxf。
• 登录审计：tail -f /var/log/auth.log；定时任务：crontab -l、systemctl list-timers。
• 文件与完整性：find / -mtime -2 -ls、sha256sum 校验关键文件；命令完整性：对比which ps与/bin/ps哈希。
• Windows 常用
• 连接与进程：Get-NetTCPConnection（State=Established/Listen）、Get-Process；登录审计：Get-WinEvent -LogName Security | Where-Object { $_.Id -eq 4624 }。
• 启动与任务：msconfig（隐藏 Microsoft 服务）、任务计划程序、services.msc；持久化与异常：注册表 Run/RunOnce、可疑服务。
• 恶意软件扫描
• Linux：ClamAV（freshclam 更新病毒库，clamscan -r /）；Windows：Windows Defender 全盘扫描或Start-MpScan -ScanType FullScan。

五 发现后的处置与加固

• 处置步骤
• 立即隔离网络（仅保留取证/管控通道），对可疑进程暂停/终止并记录PID/路径/参数；对顽固进程，优先从持久化与定时任务入手清理。
• 删除木马文件与异常启动项/定时任务，恢复被篡改的配置/首页/关键文件（以干净备份为准）。
• 全面更改密码与密钥（系统、数据库、应用后台、SSH/RDP、API），并启用多因素认证；必要时重建实例以确保环境干净。
• 修补系统与中间件漏洞，最小化对外开放端口与服务，限制SSH/RDP来源 IP，禁用不必要组件。
• 持续监测与备份
• 部署主机与网络监控/告警（如Nagios/Zabbix监控CPU/内存/磁盘/流量与关键进程；集中收集系统/安全/Web 日志并设置阈值告警）。
• 建立定期漏洞扫描与安全基线检查；实施多副本、异地的常规/自动同步/LVM 快照/云备份/S3等多重备份策略，并定期校验可用性。