清除云服务器木马是一项需要极谨慎的操作,因为云服务器环境复杂,木马可能隐藏在进程、内核模块、定时任务甚至系统镜像中。以下是系统化、可操作的彻底清除方案:
—
## 一、立刻做的(防止扩散)
1. 断开非必要连接
- 禁止对外访问(iptables / 安全组)
- 保留 SSH 管理端口,避免被锁死
2. 创建快照 / 镜像
- 一定要先备份(防止误操作或勒索)
3. 通知相关人员
- 避免业务数据被继续篡改
—
## 二、确认是否真的被植入木马
### 1️⃣ 检查异常进程bash<br>top<br>htop<br>ps aux --sort=-%cpu<br>
重点看:
- 陌生进程名
- 进程路径在 /tmp、/dev/shm、/var/tmp
- CPU/网络异常高的进程bash<br>ls -l /proc/进程ID/exe<br>
—
### 2️⃣ 检查恶意网络连接bash<br>netstat -antlp<br>ss -antlp<br>
可疑特征:
- 连接到境外 IP
- 端口 4444、8888、31337 等
- 大量 SYN_SENT
—
### 3️⃣ 检查定时任务(木马最常驻留点)bash<br>crontab -l<br>ls /etc/cron*<br>ls /var/spool/cron<br>
重点检查:
- 下载脚本的 curl / wget
- 指向 /tmp 的任务
—
### 4️⃣ 检查启动项bash<br>systemctl list-units --type=service<br>ls /etc/init.d/<br>cat /etc/rc.local<br>
—
### 5️⃣ 检查隐藏文件与 rootkitbash<br>chkrootkit<br>rkhunter --check<br>
(需先安装)
—
## 三、定位木马文件
### 1️⃣ 查找最近被修改的文件bash<br>find / -mtime -3 -type f<br>
重点目录:
- /tmp
- /var/tmp
- /dev/shm
- Web 目录(upload)
—
### 2️⃣ 检查 SSH 后门bash<br>cat ~/.ssh/authorized_keys<br>cat /root/.ssh/authorized_keys<br>
> 任何陌生公钥=后门
—
### 3️⃣ 检查可疑用户bash<br>cat /etc/passwd<br>cat /etc/shadow<br>
看是否有:
- 新增用户
- UID=0 的非 root 用户
—
## 四、清除木马(关键步骤)
### ✅ 正确方式(强烈推荐)
> 重装系统 + 恢复数据
这是唯一能 100% 保证清除干净的方式。
步骤:
1. 使用干净快照
2. 重新创建实例
3. 恢复业务数据
4. 修复漏洞后再上线
—
### ⚠️ 手动清除(不推荐,除非你非常确定)
如果你坚持:
1. 杀进程bash<br>kill -9 PID<br>
2. 删除文件bash<br>rm -f 木马文件<br>
3. 删除定时任务
4. 删除 SSH 公钥
5. 重启服务器
⚠️ 风险:
- 内核级 rootkit 删不掉
- 木马可能自动复活
—
## 五、加固服务器(防止再次中招)
✅ 必须做:
- 禁用 root 远程登录
- 修改 SSH 端口
- 使用密钥登录
- 只开放必要端口
- 安装 WAF / 云安全中心
- 定期更新系统bash<br>yum update -y<br>apt update && apt upgrade -y<br>
—
## 六、常见木马来源(查漏补缺)
| 来源 | 建议 |
|----|----|
| Redis 未授权 | 绑定 127.0.0.1 |
| Docker 漏洞 | 不暴露 2375 |
| 弱密码 | 强制复杂密码 |
| 旧 CMS 漏洞 | 升级 WordPress / 宝塔 |
| 第三方脚本 | 不再随便 wget |
—
## 七、我可以继续帮你
你可以直接发我:
- Linux 发行版(CentOS / Ubuntu)
- ps aux 输出
- netstat -antlp 输出
- 可疑进程名或路径
我可以 直接帮你判断是不是木马、在哪、怎么清。