服务器挂马快速检测与修复实战指南
一、快速检测方法
通过以下方法可快速判断服务器是否被挂马:
- 检查系统日志异常登录记录(
/var/log/auth.log) - 使用
top命令查看异常进程的CPU/内存占用 - 扫描最近修改文件:
find / -type f -mtime -1 - 检测可疑网络连接:
netstat -tulnp | grep ESTABLISHED - 使用ClamAV进行全盘扫描:
clamscan -r / --bell
二、修复操作步骤
- 立即断开网络连接,物理隔离受感染服务器
- 使用
rkhunter等工具扫描并清除恶意文件 - 检查系统启动项和计划任务:
systemctl list-unit-files | grep enabled - 重置所有账户密码和SSH密钥
- 更新系统补丁:
yum update或apt-get upgrade
三、防御加固技巧
预防服务器被挂马的关键措施:
- 启用双因素认证(2FA)保护远程登录
- 配置防火墙规则:
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT - 设置文件完整性监控:
aide --init - 定期审计Web目录权限:
find /var/www -perm 777 -ls - 部署OSSEC入侵检测系统
四、应急处理流程
事件响应标准操作程序(SOP):
- 立即启动应急响应预案并通知安全团队
- 创建完整系统快照:
dd if=/dev/sda of=/backup/image.img - 保留攻击证据:
cp /var/log/{auth.log,secure} /evidence/ - 恢复系统后持续监控72小时
- 编写事件报告并改进安全策略
