某客户的一台Linux服务器 centos系统，服务器上部署了多个PHP网站，前段时间

被机房安全警告，说是流量向外发包，本身客户的服务器带宽就大，机房给到了500M，带宽

最近几天一直被占满，流量也比较异常，网站打开访问缓慢，客户无奈的找到我们，我们分

析是服务器中了木马后门，以及网站被上传了webshell.
 

 

根据以上客户服务器的特征，我们来进一步的分析与解决问题。
 

我们登录客户的linux服务器，进行安全检查，发现centos系统的PS文件被恶意替换，ps aux

|grep ps 如下图所示：
 

 

随即我们查看该PS目录，发现PS系统文件里的4个文件被恶意替换了，时间还是2017年11.08

日的替换时间，下图所示：Sine安全公司是一家专注于：服务器安全、网站安全、网站安全检

测、网站漏洞修复,渗透测试,安全服务于一体的网络安全服务提供商。

 

 

我们对替换的文件，拷贝到我们自己的安全服务器里，进行详细的木马检测与分析，我们先

来看下socket的连接状态。如下图：

 

发现多个IP反向连接我们服务器的6666端口，我们对IP进行溯源追踪发现，这个IP还解析了

多个域名，看来这个木马后门不简单呀。域名如下：

 

8759698jc.com

 

然后我们又详细的对服务器进行安全检测，以及网站安全检测发现，网站被上传了恶意的木

马脚本，以及一句话木马后门脚本，通过对这些木马后门的详细分析，与前段时间互联网流

行的木马特征相对应，也就是国外的一个DDOS木马后门。下图所示：

 

木马在linux系统里的进程信息

 

清除linux服务器木马后门

 

一、杀掉恶意的进程.
 

二、把PS系统替换的文件，删除掉，并从安全的服务器系统里拷贝一份过去。
 

三、删除linux服务器的启动项：
 

四、删除恶意的文件与目录.
 

Sine安全公司是一家专注于：服务器安全、网站安全、网站安全检测、网站漏洞修复,渗透测

试,安全服务于一体的网络安全服务提供商。