一、挂马攻击特征与检测
服务器被挂马通常表现为异常流量、未知进程运行或文件被篡改。可通过以下方法快速检测:
- 系统日志分析:检查
/var/log/auth.log(Linux)或安全事件日志(Windows)中的异常登录记录 - 文件扫描工具:使用ClamAV、rkhunter等工具扫描可疑文件
- 特征码匹配:通过
grep -R "eval($_POST" /wwwroot命令查找PHP木马 - 文件修改时间:对比文件修改时间戳,定位近期被篡改文件
二、恶意代码清除步骤
- 立即隔离服务器:断开网络连接,防止横向传播
- 完整数据备份:备份当前文件系统和数据库,保留原始证据
- 深度扫描清理:
- 使用Sucuri或Wordfence扫描Web目录
- 重点检查
.htaccess、index.*等核心文件 - 删除所有匹配
eval(、base64_decode的可疑代码
- 系统级修复:
- 检查
crontab任务和启动项 - 重置SSH/FTP/数据库凭证
- 检查
三、安全加固与防护
完成清理后需立即实施防护措施:
| 措施类型 | 具体操作 |
|---|---|
| 系统更新 | 安装最新安全补丁,升级内核版本 |
| 防火墙配置 | 限制22/3306等高风险端口,启用白名单机制 |
| 权限管理 | 设置chmod 750目录权限,禁止PHP执行写操作 |
| 日志监控 | 配置实时日志分析,设置异常登录告警 |
| 双因素认证 | 对SSH和管理后台启用2FA认证 |
四、持续监控与应急响应
建议建立长效防护机制:
- 部署WAF防火墙拦截SQL注入、XSS等攻击
- 每周执行
find / -mtime -2 -type f检查新增文件 - 定期进行渗透测试和漏洞扫描
- 制定应急预案,包含数据恢复流程和联系清单
