记录一次服务器被植入木马的排查过程

作者：徐梦旗，发布于：2023年09月27日 19:00，字数：424，预计阅读：1分钟

> 网络安全 #木马

1. 现象

个人邮箱在2023年9月15日上午2点36分收到腾讯云的一封服务违规提醒邮件，邮件中说个人服务器存在违规情况，违规内容是服务器存在对其他服务器22端口的攻击行为，而本人并未运行相关程序，怀疑是木马植入。邮件内容如下图：

通过netstat -anop | grep 22命令发现有大量的进程正在访问22端口（但是看不见进程ID，应该是被隐藏了），怀疑是木马程序在对他人服务器的ssh进行暴力破解：

通过ps -ef命令查看系统内的进程，发现以下几个可疑的进程：

通过ls -l /proc/2644180/exe命令查看进程运行脚本所在的路径，然后通过kill -9 2644180命令杀死该进程，并删除对应的木马程序（其他进程同理）。再次运行netstat -anop | grep 22命令，发现所有连接已经关闭，说明木马排查成功，如下图：

从木马进程中可以看到用户ID为zhenzhen，后确认该账号使用的弱密码，被暴力破解了，故删除了该用户，后面入侵者仍使用该用户进行登录，登录失败。

查询到入侵者登录IP的归属地为美国。

通过sudo tail -fn+0 /var/log/auth.log | grep "Failed password"命令查看最近登录失败的日志，发现入侵者仍在暴力破解服务器。

总之，密码一定要设置的足够复杂，避免被暴力破解。