云服务器木马识别技巧
一 快速识别信号
- 资源异常:CPU、内存或磁盘IO长时间异常飙高(如挖矿木马常见使CPU接近100%),且重启后很快复现。
- 可疑网络连接:出现对外连接到陌生IP/端口的ESTABLISHED长连接,或本地监听非常见端口。
- 异常进程特征:进程名由随机字母数字组成;与系统进程名相似但路径异常(如出现在/tmp、/root);进程运行时间异常短或反复重启。
- 系统命令异常:ps、top、netstat、lsof输出异常或被劫持(大小/时间与其他系统命令一致、无输出、过滤结果等)。
- 持久化痕迹:新增或异常的crontab任务、systemd服务、开机脚本(如/etc/rc.local、/etc/init.d)、以及被修改的/etc/ld.so.preload。
- 文件与账户异常:/tmp、/var/tmp、/dev/shm出现可执行脚本;~/.ssh/authorized_keys被写入陌生公钥;出现隐藏或特权账户。
二 Linux与Windows重点排查命令
| 平台 | 排查项 | 关键命令示例 |
|---|
| Linux | 进程与CPU | top -c;ps -ef;ls -l /proc//exe 确认可执行文件路径 |
| Linux | 网络连接 | netstat -antp;ss -lntp;lsof -p 查进程打开文件与连接 |
| Linux | 定时任务与启动项 | crontab -l;cat /etc/crontab;ls /etc/cron.*;systemctl list-unit-files;chkconfig --list |
| Linux | 可疑文件与最近变更 | find /etc /tmp /var/tmp /dev/shm -mtime -2 -ls;lsattr /etc/ld.so.preload;grep -R "wget | curl | bash -i" /var/log 2>/dev/null |
| Linux | 命令劫持与预加载 | ls -l /bin/ps /usr/bin/lsof /bin/netstat;cat /etc/ld.so.preload |
| Linux | 登录与账户 | last;grep 'Accepted' /var/log/secure;awk -F: '$3==0{print $1}' /etc/passwd;awk -F: 'length($2)==0{print $1}' /etc/shadow |
| Windows | 进程与CPU | 任务管理器(详细信息)、wmic process get Name,ProcessId,CommandLine |
| Windows | 网络连接 | netstat -ano;tasklist /svc |
| Windows | 启动与持久化 | msconfig(启动项)、services.msc、任务计划程序(taskschd.msc)、注册表 Run/RunOnce |
| Windows | 日志与登录 | 事件查看器(安全日志 4624/4625 登录成功/失败)、IIS/应用日志异常访问 |
- 辅助验证:将可疑文件计算MD5并上传至VirusTotal进行多引擎检测;或将被感染的系统命令(如ps)从干净环境拷贝替换,避免被劫持输出误导。
三 常见伪装与对抗手段识别
- 伪装系统进程名:如与sshd、getty相似但路径在/tmp或/root;或进程名由随机字符串组成。
- 命令劫持与预加载:通过/etc/ld.so.preload加载恶意.so,导致ls、ps、top等输出被过滤或失真。
- 替换系统工具:直接替换/bin/ps、/bin/netstat、/usr/sbin/lsof等,使常规排查“看不见”木马。
- 守护与自启动:进程间相互守护;在crontab、/etc/init.d、systemd或/etc/cron.hourly中设置定时拉起脚本。
- 隐藏账户与SSH后门:在/etc/passwd添加UID为0的隐藏用户;向~/.ssh/authorized_keys写入攻击者公钥。
- 异常文件属性:可疑文件设置不可修改/不可删除属性(如chattr +i),或放在/tmp、/var/tmp、/dev/shm等易失路径。
四 处置优先级与后续加固
1) 立即隔离:在云平台安全组/防火墙层面限制入站/出站,必要时先断网防止扩散。
2) 暂停而非强杀:对反复重启的进程先用kill -STOP 暂停,防止守护进程立刻拉起。
3) 清理持久化:注释/删除异常crontab与systemd服务;清空并锁定可疑脚本(如 chmod 000 后 chattr +i);恢复被篡改的/etc/ld.so.preload。
4) 删除木马文件:用 lsof 确认所有相关文件句柄后删除;对替换的系统命令从干净镜像恢复。
5) 账户与密钥:清理authorized_keys中的陌生公钥;禁用/删除隐藏或弱口令账户;重置root与关键业务账户密码。
6) 补丁与加固:更新OS/中间件/CMS补丁;SSH端口改为非默认并限制来源IP;开启防火墙白名单策略。
7) 验证与恢复:持续观察CPU/连接是否复现;必要时从干净备份恢复。
8) 求助渠道:若影响业务或无法定位,及时联系云服务商安全支持协助取证与处置。
- 后续加固
- 启用云监控/态势感知对异常进程与文件进行告警;
- 定期审计日志与账户、最小化sudo权限、开启2FA;
- 建立基线巡检(定时执行top/ps/netstat/连接数/定时任务等并留存);
- 对公网服务最小化暴露面,分区分域与跳板机运维。
