一、掛馬行為特征識別

服務(wù)器被掛馬常表現(xiàn)為CPU/內(nèi)存異常占用、新增可疑進(jìn)程或網(wǎng)絡(luò)連接。攻擊者會植入后門程序篡改系統(tǒng)配置，例如在Web目錄中注入惡意腳本或修改數(shù)據(jù)庫內(nèi)容。典型癥狀包括：

• 網(wǎng)站頁面被插入非法跳轉(zhuǎn)代碼
• 系統(tǒng)出現(xiàn)未知計劃任務(wù)或啟動項
• 日志中出現(xiàn)非常規(guī)IP的SSH登錄記錄

二、系統(tǒng)日志與進(jìn)程分析

通過top和netstat命令檢測異常進(jìn)程，重點審查以下日志：

1. Linux系統(tǒng)：檢查/var/log/auth.log的SSH登錄記錄
2. Web服務(wù)器：分析Nginx/Apache的訪問日志，篩選高頻錯誤請求
3. 數(shù)據(jù)庫日志：檢測異常查詢語句和權(quán)限變更記錄

find /var/www -type f -mtime -1   # 查找24小時內(nèi)修改的文件
rkhunter --check          # 使用Rootkit檢測工具

三、惡意文件掃描與清除

推薦使用多維度掃描方案：

• 靜態(tài)檢測：ClamAV、WebshellKill掃描Web目錄
• 動態(tài)分析：使用strace追蹤可疑進(jìn)程行為
• 文件校驗：Tripwire對比系統(tǒng)文件哈希值

發(fā)現(xiàn)后門文件后應(yīng)立即隔離服務(wù)器，通過備份恢復(fù)原始文件。數(shù)據(jù)庫需執(zhí)行全表掃描，清除注入的惡意代碼。

四、系統(tǒng)修復(fù)與加固措施

根除后門后需完成：

1. 更新所有組件到最新穩(wěn)定版本
2. 重置SSH/FTP/數(shù)據(jù)庫訪問憑證
3. 配置防火墻規(guī)則，禁用非必要端口
4. 設(shè)置文件監(jiān)控：inotifywait -mrq /var/www