原文地址:https://xz.aliyun.com/t/4090
在伺服器被入侵後進行應急響應無非通過檔案排查、網路排查、程序排查、系統資訊排查等方法進行入侵排查。下面就一些常見技巧以及公開的工具進行剖析介紹
前言引用來源:https://xz.aliyun.com/t/4090
文章圖片來源:https://xz.aliyun.com/t/4090
-------------------
如果你認同我們每日分享的文章,請幫我們按個讚並且點擊追蹤「搶先看」,讓我們提供最新消息給您!您的分享及點讚,是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/
波波觀點:Linux backdoor 排查要從持久化位置開始
Linux 常見後門不一定只是一個可疑檔案,可能藏在 SSH key、系統帳號、crontab、systemd service、啟動腳本、共享物件、LD_PRELOAD 或被替換的系統工具中。排查時要先建立時間線,再逐層檢查帳號、程序、網路、檔案與日誌。
排查清單
- 檢查 /etc/passwd、sudoers、authorized_keys、最近登入紀錄與異常帳號。
- 盤點 crontab、systemd、rc.local、shell profile 與可疑自動啟動項。
- 用 ss、lsof、ps、top、journalctl 與 auth.log 追蹤程序與外連。
- 比對近期修改檔案、可疑二進位、WebShell 與未知下載工具。
復原建議
若主機已確認被植入後門,最乾淨的做法通常是備份必要資料、確認備份乾淨後重建系統,再輪替所有憑證。若只能原機修復,也要先隔離網路、保存證據、移除持久化、更新套件、修補入口並加強監控。
這篇文章後續可以補上 Ubuntu 24.04 排查指令與 WordPress 主機應急流程,會很符合目前 LonelySec 讀者與站台維運需求。






![[漏洞預警]NagiosXI 全版本遠端程式碼執行-波波的寂寞世界](https://lonelysec.com/wp-content/uploads/2019/04/nagios-220x150.png)
![[ 隨機福利 ] 紅隊實戰演練環境 下載-波波的寂寞世界](https://lonelysec.com/wp-content/uploads/2019/04/red-team-3-220x150.png)
![紅隊實戰演練環境 下載 [ 單域環境 ]-波波的寂寞世界](https://lonelysec.com/wp-content/uploads/2019/04/red-team-2-220x150.png)





