Linux 服务器木马排查与修复指南

原创 已于 2025-09-23 09:10:17 修改 · 919 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #linux #运维

于 2025-07-28 22:10:36 首次发布

目标

排查内网私有化部署的 PHP 网站服务器中的木马病毒,并修复系统漏洞。

文章取自:http://i71i.com/5wg

1. 初步排查

1.1 检查资源占用

top
htop  # 查看高占用进程
netstat -antp | grep ESTABLISHED  # 检查异常网络连接

1.2 检查异常进程

ps aux | grep -v "grep" | grep "可疑进程名"
lsof -p <PID>  # 查看进程关联文件

1.3 检查定时任务

crontab -l
cat /etc/crontab
ls -l /etc/cron.*  # 检查新增任务

1.4 检查启动项

systemctl list-unit-files --type=service
ls -l /etc/rc.d/init.d/

2. Web 目录排查

2.1 定位 Web 根目录

  • 通过 Nginx/Apache 配置文件(如 /etc/nginx/sites-available/default)确认路径。

2.2 检测 Webshell

grep -r "eval(" /var/www/html  # 查找 PHP Webshell
grep -r "base64_decode" /var/www/html
find /var/www/html -mtime -1  # 查找1天内修改的文件

2.3 检查日志

tail -n 100 /var/log/apache2/access.log
tail -n 100 /var/log/nginx/error.log

3. 系统层面排查

3.1 用户账户检查

cat /etc/passwd
cat /etc/shadow

3.2 SSH 登录记录

last
cat /var/log/auth.log

3.3 系统日志分析

tail -n 100 /var/log/syslog

3.4 使用安全工具

chkrootkit
rkhunter --check

4. 清除木马与修复

4.1 终止恶意进程

kill -9 <PID>

4.2 删除恶意文件

rm -rf /var/www/html/shell.php
rm -rf /tmp/mcrond

4.3 修复配置

chmod 644 /etc/passwd
chattr -i /usr/bin/bash

4.4 更新系统

apt update && apt upgrade -y  # Debian/Ubuntu
yum update -y                 # CentOS

5. 防护措施

5.1 强化安全配置

  • 限制文件上传:

    upload_max_filesize = 2M
open_basedir = /var/www/html

  • 启用防火墙:

    ufw allow 80,443,22/tcp
ufw deny from <恶意IP>

5.2 保密性保障

  • 隔离环境:禁止外网直接访问服务器。

  • 权限限制:仅授权必要人员使用 SSH 密钥认证。

  • 加密通信:强制使用 HTTPS。

6. 日常监控

  • 文件监控:

    inotifywatch -r /var/www/html

  • 日志审计: 使用 ELK Stack 或 Graylog 集中分析日志。

附录

  • ClamAV 扫描:

    clamscan --infected --recursive /var/www/html

  • PHP 漏洞修复: 禁用 allow_url_includeregister_globals

文档说明

  1. 保密性:所有操作应在内网环境中执行,禁止外网访问。

  2. 操作风险:涉及系统文件修改时,建议先备份(如 cp /etc/passwd /etc/passwd.bak)。

  3. 应急响应:如无法自行解决,建议联系专业安全团队。

【手册】Linux服务器应急排查实战指南
Hello, New World!
04-28 312
服务器运行过程中,网络安全攻击频发,常见威胁包括 挖矿病毒、蠕虫传播、DDoS 攻击、后门程序等。这些攻击不仅影响系统稳定性,还可能造成数据泄露或业务中断。对于系统运维和应急排查人员而言,如何在最短时间内识别攻击迹象、精准定位问题来源,并迅速采取应对措施,是一项至关重要的技能。
linux被植入木马排查思路
qq_59634082的博客
08-20 2351
1、查看一定时间内文件的情况 find / -name "*" -type f -newermt '2022-08-25 00:00:00'!2、查看tomcat、nginx的比较大的.jsp .htm文件 find /目录 -name .jsp -o -size +10000k。在相应的文件里把tomcat2用户添加的内容删除 /etc/shadow /etc/group ,异常用户直接锁定。3、查看passwd的修改时间,判断是否在不知情的情况下被添加用户 ls -l /etc/passwd。
linux木马排查
qq_39122260的博客
02-16 2224
排查 结合通过AIDE入侵检查服务查看那些被修改了 计划任务 查看 crontab -l -u root 开机启动 查看 cat /etc/rc{1..3}.d/rc.local 系统命令被人替换 查看 /家目录/.bashrc /etc/bashrc Alias 定一个触发事件 查看 top -d 1 pstree -ap | grep 异常进程pid ps -ef | grep 一场进程pid 定时备份清除历史命令记录文件 /root/.bash_histort 系
服务器linux杀网页木马,一次Linux服务器木马查杀经历
weixin_42120563的博客
05-09 504
1客户自己的服务器由于种了木马,往外发送大量数据包,被服务商切断网络.虽然没有网络不能直接登录服务器,但是可以通过服务商提供的WEB控制面板进入操作系统.首先使用命令查看相关连接:netstat-natp,很明显看到了异常进程gettylsof-i:35308对应进程号,然后kill掉.使用命令last查看最近登录情况:其中有异常IP登录:60.28.121.160是天津的IP,而客户是...
【ceph】如何打印一个osd的op流程,排查osd在干什么
zerotoall的博客
11-24 593
【ceph】如何打印一个osd的op流程,排查某个osd具体在干什么
linux木马排查手册,Linux系统是否被植入木马排查流程梳理.doc
weixin_42406647的博客
05-14 559
Linux系统是否被植入木马排查流程梳理.docLinux系统是否被植入木马的排査流程梳理为保障系统安全要定期对系统进行安全检杳,此文档旨在检斉系统里是否存在未知进程及 木马和病毒。一、是否入侵检查1)检查系统日志检查系统错误登陆日志,统计IP重试次数(last命令是查看系统登陆日志, 比如系统被reboot或登陆情况)lastlastb[root@gsweb data]#root root r...
Linux上机安全排查应急响应指南
最新发布
shdkfbbv的博客
07-22 1048
系统基本信息 常见漏洞关联:推荐工具: 2. CPU/内存异常排查(挖矿木马最常见表现) 实战案例参考(来自知识库): 如何提取样本分析? 推荐在线检测工具(上传样本哈希): 可疑行为示例(来自知识库):加固建议: 如何启用bash审计日志?(防止下次被清空)在 末尾添加以下内容(来自知识库): 常见攻击命令特征(可用于grep过滤): 比如: 5. 网络连接排查(是否有异常外联或监听) 重点排查项:关闭可疑连接示例: 推荐工具:
黑客攻击后Linux服务器恢复安全检查指南
在遭遇Linux服务器攻击后,服务器维护显得尤为重要,因为攻击...总结来说,维护攻击后的Linux服务器涉及全面的安全审计、异常检测、权限管理和修复漏洞等多个环节。只有通过综合的策略,才能有效保障服务器的安全运行。
PHP网站木马清除指南修复防范策略
"这篇文章主要介绍了如何修复被挂载了木马的PHP网站,提供了一种在Linux和Windows环境下查找并清除木马文件的方法,并提到了一个PHP木马扫描工具的代码示例。" PHP网站被挂马后,修复工作至关重要,以确保网站的...
Linux系统清理内核优化指南
### Linux系统清理内核优化指南 #### 1. 移除不必要的服务 在Linux系统中,多余未使用的服务会带来安全风险。即使当前某些服务处于禁用状态,黑客或木马也可能会将其开启并利用开放端口进行攻击。所以,移除那些...
linux 木马自查
dahuzi的专栏
11-30 1855
经检测您的云服务器(120.26.100.39)存在恶意发包行为,目前已经持续6小时,需要您尽快排查您的安全隐患。如恶意发包行为持续,36小时内我们将关停您的主机6小时,请您务必重视。谢谢。 如果自己不能解决,您可以购买我们的付费云托管服务http://www.aliyun.com/product/mss,安全工程师会提您排查解决,服务内容包括:如排查服务器WEB应用被黑,网站挂黑链,网站网页被修改
Linux系统是否被植入木马排查流程梳理
bosschen
11-29 1206
Linux系统是否被植入木马排查流程梳理
Liunx木马排查及纠结蛋碎的过程记录
巴途Way,专注Go,PHP,C开发
12-14 1420
开场白服务器挂了,原因纠结的查杀过程ifconfig发现网卡的发送、接收数据情况, 网卡eth0累计发送了52.5G 的数据。刚重启不久就这么多数据,不太正常。 另,5M带宽啊,平时最多占用3M,而现在直接跑满,进都进不去。 最后直接被阿里云把服务器停了,说对外进行大量的攻击。。。好吧,纠结,别人不攻击我们就万福了,哪有心情去攻击别人。 $ ll -al /usr/bin/bsd-port/
2024年Linux 系统被黑客入侵!怎么排查?_linux系统排查(1)
2303_79055586的博客
05-01 796
Linux 操作系统的动态链接库加载过程中,动态链接器会读取 LD_PRELOAD 环境变量的值和默认配置文件 /etc/ld.so.preload 的文件内容,并将读取到的动态链接库进行预加载,即使程序不依赖这些动态链接库,LD_PRELOAD 环境变量和 /etc/ld.so.preload 配置文件中指定的动态链接库依然会被装载,它们的优先级比 LD_LIBRARY_PATH 环境变量所定义的链接库查找路径的文件优先级要高,所以能够提前于用户调用的动态库载入。我之前在这个上面困惑了一段时间。
Linux使用find命令查找可疑的木马文件
原名又逢乱世。不要放下学习的脚步,毕竟比天天打牌、钓鱼、打游戏更能从内在充实自己。
07-12 1132
查找:5天内被修改的文件 find ./ -mtime -5 -type f -exec ls -l {} \; 找到目录下所有的txt文件 find ./ -name "*.txt" -print 找到目录下所有的txt文件并删除 find ./ -name "*.txt" -exec rm -rf {} \; 找到目录下所有的php文件 并且在5天之类被修改的文件 find ./ -name "*.php" -mtime -5 -typef -exec ls -l {} \;...
Linux 下如何查找木马并处理
weixin_30276935的博客
01-08 839
Linux 下如何查找木马并处理 1、cat /etc/passwd 未发现陌生用户和可疑root权限用户。 2、netstat -anp 查看所有进程及pid号,未发现异常连接。 3、last 查看最近登录用户,未发现异常 4、cat /etc/profile 查看系统环境变量,未发现异常 5、ls -al /etc/rc.d/rc3...
linux 查找木马文件,linux快速查找木马后门的办法
weixin_29229261的博客
04-29 924
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?webshell后门我相信大家都见过,站长也都清理过木马。今天分享一个快速查找的办法:木马里面常用的php函数:set_time_limit(禁止报错)定义和用法error_reporting() 函数跪地你给应该报告何种 PHP 错误。error_reporting() 函数能够在运行时设置 error_reporti...
Linux 下查找木马
weixin_30514745的博客
12-07 132
转载请注明转自http://www.cnblogs.com/phoenix--/archive/2011/12/07/2279272.html 1、cat /etc/passwd 未发现陌生用户和可疑root权限用户。 2、netstat -anp 查看所有进程及pid号,未发现异常连接。 3、last 查看最近登录用户,未发现异常 4、cat /etc/profile 查看系统环境变量...
LINUX下的PHP木马查询
maorenqi101的专栏
09-03 932
一句话查找PHP木马   # find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc"> /tmp/php.txt   # grep -r --include=*.php '[^a-z]eval($_POST' . > /tmp/e
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值