一、挂马行为特征识别

服务器被挂马常表现为CPU/内存异常占用、新增可疑进程或网络连接。攻击者会植入后门程序篡改系统配置，例如在Web目录中注入恶意脚本或修改数据库内容。典型症状包括：

• 网站页面被插入非法跳转代码
• 系统出现未知计划任务或启动项
• 日志中出现非常规IP的SSH登录记录

二、系统日志与进程分析

通过top和netstat命令检测异常进程，重点审查以下日志：

1. Linux系统：检查/var/log/auth.log的SSH登录记录
2. Web服务器：分析Nginx/Apache的访问日志，筛选高频错误请求
3. 数据库日志：检测异常查询语句和权限变更记录

find /var/www -type f -mtime -1   # 查找24小时内修改的文件
rkhunter --check          # 使用Rootkit检测工具

三、恶意文件扫描与清除

推荐使用多维度扫描方案：

• 静态检测：ClamAV、WebshellKill扫描Web目录
• 动态分析：使用strace追踪可疑进程行为
• 文件校验：Tripwire对比系统文件哈希值

发现后门文件后应立即隔离服务器，通过备份恢复原始文件。数据库需执行全表扫描，清除注入的恶意代码。

四、系统修复与加固措施

根除后门后需完成：

1. 更新所有组件到最新稳定版本
2. 重置SSH/FTP/数据库访问凭证
3. 配置防火墙规则，禁用非必要端口
4. 设置文件监控：inotifywait -mrq /var/www