云服务器木马清除步骤

云服务器木马清除步骤
一 紧急止血与隔离

• 立即将受感染实例从内网与外网隔离（如VPC 安全组仅放通跳板机、关闭对外服务或切换到维护网络），避免横向扩散与矿池回连。
• 阻断可疑通信：先定位异常外联，再在主机或边界防火墙封禁。示例（Linux）：
• 查看连接：netstat -antp
• 封禁 C2 或矿池地址：iptables -A INPUT -s -j DROP；iptables -A OUTPUT -d -j DROP
• 快速止损：暂停可疑服务、关闭未使用端口、下线可疑应用实例，保留现场以便取证。
• 同步通知云厂商安全团队或提交工单，获取平台侧处置能力支持（如封禁策略下发、镜像取证等）。

二 定位与清除持久化

• 定位高占用与可疑进程：
• 查 CPU/内存：top -c、ps -eo pid,ppid,cmd,%cpu --sort=-%cpu
• 查网络连接：netstat -antp
• 取证与判定：读取进程可执行文件路径 ls -al /proc//exe，计算 MD5 并在威胁情报平台查询；必要时 cat /proc//exe > /tmp/mal.bin 留存样本。
• 终止与清理：
• 结束进程：kill -9
• 删除文件：rm -f <恶意文件路径>（先确认非业务文件）。
• 清除持久化入口（按优先级从高到低）：
• 计划任务：crontab -l、crontab -u -l，以及 /etc/crontab、/var/spool/cron/、/etc/cron.d/、/etc/cron.hourly/ 等目录；删除下载/启动挖矿的条目。
• systemd 服务：systemctl list-unit-files | grep enabled；检查 /etc/systemd/system/、/usr/lib/systemd/system/ 下可疑单元，执行 systemctl disable 并删除单元文件。
• 启动脚本与运行级别：/etc/rc.local、/etc/inittab、/etc/rc.d/、/etc/init.d/。
• SSH 后门：清理 ~/.ssh/authorized_keys 与 /root/.ssh/authorized_keys 中的未知公钥。
• 命令劫持与隐藏：检查并清空 /etc/ld.so.preload，恢复被替换的系统命令（如 ps/top/pstree 的 .original 文件）。
• 防篡改属性：如遇不可删除文件，先 chattr -i <文件> 再清理。
• 异常账号：审计 /var/log/audit/audit.log、/var/log/secure 与 /etc/passwd、/etc/shadow，删除后门账号。

三 使用云安全产品深度查杀

• 云安全中心处置（推荐）：
• 在控制台进入检测响应 > 安全告警处理，对挖矿告警执行“结束进程/隔离源文件”，并一并处理关联的矿池通信、恶意域名等告警。
• 进入防护配置 > 主机防护 > 病毒查杀，对受害主机执行“快速/深度查杀”，重点清理自启动项、定时任务等持久化行为。
• 使用无代理检测对系统盘/数据盘做全盘检测（仅检测、修复需按指引手工处理），完成后逐条处置风险项。
• 无云安全中心时的替代：在主机上部署主流主机安全/杀毒软件执行全盘扫描与清除，并结合日志审计复核清理效果。

四 恢复与加固

• 变更凭证与密钥：
• 立即重置系统/数据库/应用/云控制台等全部密码与访问密钥，启用强密码策略与多因素认证（2FA）。
• 清理并重新下发合法 SSH 公钥，仅保留受控终端的公钥。
• 修补与收敛暴露面：
• 升级操作系统与中间件/应用至最新安全版本，修复已知漏洞。
• 收敛端口与服务：仅开放必要端口，变更默认端口（如 SSH 22 → 非默认端口），限制来源 IP；禁用未使用模块与组件。
• 加固策略：
• 开启防火墙/入侵检测/主机加固能力，限制非必要登录与命令执行权限；对关键目录设置不可变属性防止篡改。
• 备份与验证：
• 从干净备份恢复业务（备份需确认未受感染），上线前再次全量查杀与基线核查。
• 持续日志审计与异常监控，观察是否仍有矿池通信、可疑进程或计划任务回潮。

五 常见木马家族快速处置要点

• 伪装 AliyunDuns：重点排查 /etc/systemd/system/ 下含 --donate-level、xmrig、/opt/sysetmd、A_li_yun_Duns 的服务单元，及 /etc/cron.hourly/0 等可疑定时脚本，删除后恢复被篡改文件属性并清理。
• Skidmap：清空异常 systemd 服务单元文件内容（如 systemd-cgroup.service、systemd-deltaed.service）并删除对应可执行文件。
• Cleanfda：恢复被改名的系统命令（ps/top/pstree.original），清理 /var/spool/cron、/etc/cron.d/ 中的可疑脚本（如 upat.sh），删除未知 SSH 公钥。
• Outlaw：在各类 cron 文件中检索 .configrc5/ 字符串并删除相关任务与载荷。