在香港VPS服务器上排查是否存在后门程序是维护服务器安全的关键任务。后门程序（Backdoor）是黑客为非法访问服务器而植入的恶意程序，可能导致数据泄露、服务中断等严重后果。

1. 后门程序的常见表现

1. 服务器异常行为：

   • CPU、内存或带宽使用率异常升高。
   • 未知进程占用大量资源。

2. 异常网络连接：

   • 未知的外部 IP 地址频繁连接服务器。
   • 不常见的端口被打开。

3. 文件或配置被篡改：

   • 网站文件被植入恶意代码（如 PHP Web Shell）。
   • 系统文件出现未经授权的更改。

4. 登录异常：

   • SSH 登录日志中发现未知的 IP 登录记录。
   • 系统账户被新增或密码被修改。

2. 排查后门程序的步骤

2.1 检查系统进程和服务

1. 查看运行中可疑进程

使用以下命令查看当前运行的进程：

ps aux --sort=-%cpu

• 查找不熟悉的进程名称，特别是占用大量资源的进程。
• 常见后门程序伪装为系统进程，如 cron, sshd, bash。

2. 检查服务启动项

列出所有系统服务，检查是否有未知的服务：

• 对于 Systemd 系统：
  bash

   

  systemctl list-units --type=service
  

• 对于 init 系统：
  bash

   

  chkconfig --list
  

3. 查找隐藏进程

有些后门程序会隐藏进程，可以使用 lsof 或 rkhunter 检查：

sudo lsof | grep deleted

• 输出中显示的文件标注为 (deleted) 可能是已被删除但仍在运行的后门。

2.2 检查网络活动

1. 查看网络连接

列出当前所有网络连接，关注不常见的端口或外部 IP：

netstat -anp

或：

ss -tuln

重点检查：

• 监听的端口：是否有异常端口被监听。
• 连接的外部 IP：是否有未知的远程 IP 频繁连接。

2. 检查定时任务中的网络行为

后门程序可能通过定时任务定期发送数据：

crontab -l
cat /etc/crontab
ls /etc/cron.d/

• 查找是否存在不熟悉的定时任务或调用未知脚本的任务。

2.3 检查文件系统

1. 查找最近修改的文件

后门程序可能隐藏在最近被修改的文件中：

find / -type f -mtime -7 2>/dev/null

（查找最近 7 天内修改的文件）

2. 查找异常文件权限

检查是否有文件权限被异常设置为可执行：

find / -type f -perm /111

• 输出中出现的可疑程序或脚本需要重点检查。

3. 检查常见 Web 后门

如果服务器托管了网站，检查是否存在 Web Shell 或恶意代码：

• 搜索常见后门关键字：
  bash

   

  grep -r "eval(" /var/www/
  grep -r "base64_decode(" /var/www/
  grep -r "shell_exec(" /var/www/
  

• 重点检查 PHP 文件，例如 index.php, config.php。

2.4 检查用户和权限

1. 查看系统用户

列出所有登录用户，检查是否有未知账户：

cat /etc/passwd

2. 检查 SSH 设置

检查是否有未经授权的 SSH 公钥：

cat ~/.ssh/authorized_keys

• 确保文件中只有授权的公钥。

3. 检查 SUID 文件

后门程序可能通过 SUID 提权：

find / -perm -4000

• 输出中非系统程序的 SUID 文件需要重点检查。

2.5 使用安全工具扫描

1. 使用 ClamAV 扫描恶意文件

安装并运行 ClamAV：

sudo apt install clamav -y       # Ubuntu/Debian
sudo yum install clamav -y       # CentOS
sudo freshclam                   # 更新病毒库
sudo clamscan -r /               # 扫描整个系统

2. 使用 rkhunter 检查 Rootkit

安装并运行 rkhunter：

sudo apt install rkhunter -y     # Ubuntu/Debian
sudo yum install rkhunter -y     # CentOS
sudo rkhunter --update           # 更新规则
sudo rkhunter --checkall         # 运行全面检查

3. 使用 chkrootkit 检查后门

安装并运行 chkrootkit：

sudo apt install chkrootkit -y   # Ubuntu/Debian
sudo yum install chkrootkit -y   # CentOS
sudo chkrootkit

4. 使用 Lynis 进行全面系统安全审计

Lynis 是一个强大的安全审计工具：

sudo apt install lynis -y        # Ubuntu/Debian
sudo yum install lynis -y        # CentOS
sudo lynis audit system          # 运行审计

3. 清理后门程序

3.1 终止可疑进程

找到并终止可疑的进程：

kill -9 <PID>

（使用 ps 或 netstat 获取可疑进程的 PID）

3.2 删除恶意文件

删除检测到的后门文件，并清理其关联的定时任务或脚本。

3.3 恢复系统文件

• 检查并恢复被篡改的系统文件：
  bash

   

  sudo dpkg --verify             # Ubuntu/Debian
  sudo rpm -Va                   # CentOS
  

• 重新安装被破坏的核心服务：
  bash

   

  sudo apt reinstall <package>   # Ubuntu/Debian
  sudo yum reinstall <package>   # CentOS
  

4. 预防后门程序再出现

4.1 加固 SSH

• 禁止密码登录，仅允许公钥登录：

  bash

   

  sudo nano /etc/ssh/sshd_config
  

  修改以下内容：

  plaintext

   

  PasswordAuthentication no
  PermitRootLogin no
  

  重启 SSH 服务：

  bash

   

  sudo systemctl restart sshd
  

• 更改默认 SSH 端口：

  bash

   

  Port 2222
  

4.2 安装防火墙

使用 UFW 或 iptables 只开放必要端口：

sudo ufw allow 22               # SSH
sudo ufw allow 80               # HTTP
sudo ufw allow 443              # HTTPS
sudo ufw enable

4.3 定期更新系统和软件

保持系统和软件的最新版本：

sudo apt update && sudo apt upgrade -y   # Ubuntu/Debian
sudo yum update -y                       # CentOS

4.4 安装入侵检测系统

部署工具如 OSSEC 或 Fail2Ban，实时监控并阻止恶意行为。

5. 总结

在香港VPS服务器中排查后门程序需要系统化的检测流程，包括分析系统进程、检查网络连接、扫描文件系统和用户权限等。以下是关键步骤：

1. 识别异常进程和网络活动。
2. 使用工具（如 ClamAV、rkhunter）扫描恶意文件和后门程序。
3. 清理恶意程序，修复被篡改的文件和配置。
4. 加固服务器安全，防止后门程序再次出现。

通过这些步骤，可以确保服务器的安全性和稳定性，保护网站和数据免受威胁。