在香港VPS服务器上排查是否存在后门程序是维护服务器安全的关键任务。后门程序（Backdoor）是黑客为非法访问服务器而植入的恶意程序，可能导致数据泄露、服务中断等严重后果。

1. 后门程序的常见表现

服务器异常行为：

CPU、内存或带宽使用率异常升高。

未知进程占用大量资源。

异常网络连接：

未知的外部 IP 地址频繁连接服务器。

不常见的端口被打开。

文件或配置被篡改：

网站文件被植入恶意代码（如 PHP Web Shell）。

系统文件出现未经授权的更改。

登录异常：

SSH 登录日志中发现未知的 IP 登录记录。

系统账户被新增或密码被修改。

2. 排查后门程序的步骤

2.1 检查系统进程和服务

1. 查看运行中可疑进程

使用以下命令查看当前运行的进程：

bash

 

ps aux –sort=-%cpu

查找不熟悉的进程名称，特别是占用大量资源的进程。

常见后门程序伪装为系统进程，如 cron, sshd, bash。

2. 检查服务启动项

列出所有系统服务，检查是否有未知的服务：

对于 Systemd 系统：

bash

 

systemctl list-units –type=service

对于 init 系统：

bash

 

chkconfig –list

3. 查找隐藏进程

有些后门程序会隐藏进程，可以使用 lsof 或 rkhunter 检查：

bash

 

sudo lsof | grep deleted

输出中显示的文件标注为 (deleted) 可能是已被删除但仍在运行的后门。

2.2 检查网络活动

1. 查看网络连接

列出当前所有网络连接，关注不常见的端口或外部 IP：

bash

 

netstat -anp

或：

bash

 

ss -tuln

重点检查：

监听的端口：是否有异常端口被监听。

连接的外部 IP：是否有未知的远程 IP 频繁连接。

2. 检查定时任务中的网络行为

后门程序可能通过定时任务定期发送数据：

bash

 

crontab -l

cat /etc/crontab

ls /etc/cron.d/

查找是否存在不熟悉的定时任务或调用未知脚本的任务。

2.3 检查文件系统

1. 查找最近修改的文件

后门程序可能隐藏在最近被修改的文件中：

bash

 

find / -type f -mtime -7 2>/dev/null

（查找最近 7 天内修改的文件）

2. 查找异常文件权限

检查是否有文件权限被异常设置为可执行：

bash

 

find / -type f -perm /111

输出中出现的可疑程序或脚本需要重点检查。

3. 检查常见 Web 后门

如果服务器托管了网站，检查是否存在 Web Shell 或恶意代码：

搜索常见后门关键字：

bash

 

grep -r “eval(” /var/www/

grep -r “base64_decode(” /var/www/

grep -r “shell_exec(” /var/www/

重点检查 PHP 文件，例如 index.php, config.php。

2.4 检查用户和权限

1. 查看系统用户

列出所有登录用户，检查是否有未知账户：

bash

 

cat /etc/passwd

2. 检查 SSH 设置

检查是否有未经授权的 SSH 公钥：

bash

 

cat ~/.ssh/authorized_keys

确保文件中只有授权的公钥。

3. 检查 SUID 文件

后门程序可能通过 SUID 提权：

bash

 

find / -perm -4000

输出中非系统程序的 SUID 文件需要重点检查。

2.5 使用安全工具扫描

1. 使用 ClamAV 扫描恶意文件

安装并运行 ClamAV：

bash

 

sudo apt install clamav -y       # Ubuntu/Debian

sudo yum install clamav -y       # CentOS

sudo freshclam                   # 更新病毒库

sudo clamscan -r /               # 扫描整个系统

2. 使用 rkhunter 检查 Rootkit

安装并运行 rkhunter：

bash

 

sudo apt install rkhunter -y     # Ubuntu/Debian

sudo yum install rkhunter -y     # CentOS

sudo rkhunter –update           # 更新规则

sudo rkhunter –checkall         # 运行全面检查

3. 使用 chkrootkit 检查后门

安装并运行 chkrootkit：

bash

 

sudo apt install chkrootkit -y   # Ubuntu/Debian

sudo yum install chkrootkit -y   # CentOS

sudo chkrootkit

4. 使用 Lynis 进行全面系统安全审计

Lynis 是一个强大的安全审计工具：

bash

 

sudo apt install lynis -y        # Ubuntu/Debian

sudo yum install lynis -y        # CentOS

sudo lynis audit system          # 运行审计

3. 清理后门程序

3.1 终止可疑进程

找到并终止可疑的进程：

bash

 

kill -9 

（使用 ps 或 netstat 获取可疑进程的 PID）

3.2 删除恶意文件

删除检测到的后门文件，并清理其关联的定时任务或脚本。

3.3 恢复系统文件

检查并恢复被篡改的系统文件：

bash

 

sudo dpkg –verify             # Ubuntu/Debian

sudo rpm -Va                   # CentOS

重新安装被破坏的核心服务：

bash

 

sudo apt reinstall    # Ubuntu/Debian

sudo yum reinstall    # CentOS

4. 预防后门程序再出现

4.1 加固 SSH

禁止密码登录，仅允许公钥登录：

bash

 

sudo nano /etc/ssh/sshd_config

修改以下内容：

plaintext

 

PasswordAuthentication no

PermitRootLogin no

重启 SSH 服务：

bash

 

sudo systemctl restart sshd

更改默认 SSH 端口：

bash

 

Port 2222

4.2 安装防火墙

使用 UFW 或 iptables 只开放必要端口：

bash

 

sudo ufw allow 22               # SSH

sudo ufw allow 80               # HTTP

sudo ufw allow 443              # HTTPS

sudo ufw enable

4.3 定期更新系统和软件

保持系统和软件的最新版本：

bash

 

sudo apt update && sudo apt upgrade -y   # Ubuntu/Debian

sudo yum update -y                       # CentOS

4.4 安装入侵检测系统

部署工具如 OSSEC 或 Fail2Ban，实时监控并阻止恶意行为。

5. 总结

在香港VPS服务器中排查后门程序需要系统化的检测流程，包括分析系统进程、检查网络连接、扫描文件系统和用户权限等。以下是关键步骤：

识别异常进程和网络活动。

使用工具（如 ClamAV、rkhunter）扫描恶意文件和后门程序。

清理恶意程序，修复被篡改的文件和配置。

加固服务器安全，防止后门程序再次出现。

 

通过这些步骤，可以确保服务器的安全性和稳定性，保护网站和数据免受威胁。