伺服器SSH後門木馬查殺

關於SSH後門木馬查殺，那SSH協議其實它是一個加密的網路傳輸協議，通常我們們使用它作為Linux管理使用，那它用來傳輸命令介面和遠端執行命令，也就是我們們現在看到的這個介面，通常計算機被入侵之後，如果這個計算機是暴露在外網的，或者是橫向打穿了某一臺伺服器，以另一臺伺服器作為跳板跳到其他伺服器上。一般來說，透過SSH登陸會非常的方便操作命令這個時候是不是就有後門的誕生了。

比如我現在想要登入這臺伺服器，我就有賬號密碼，那看一下我們們現在這裡有什麼賬戶，只有一個whale Labe，這個賬戶就是我們們目前登入的，那攻擊者新建立一個賬戶可不可能，那是可以的，比如我現在建立一個叫hack，現在新建了一個賬戶，現在看不到，那這是第一種看到賬戶的方法。來看一下第二種，看這裡邊有兩個賬戶，其中是whale label和hack，hack我其實沒有設定密碼，這裡就不設定了。我給大家說的是這個檔案裡可以看到所有的賬戶 Linux是透過讀取這個檔案找到賬戶的，所以所有的賬戶必須在passwd裡邊。如果計算機多出來的使用者，它一定在這裡仔細排查這些賬戶，如果不是公司使用的賬戶，那麼及時和運維確認，看一下普及一下後邊的一個小知識。

我們們可以看到後邊有一些東西，那這都是做什麼的，看bin，這也是我們們最常見的bin/bash，就是我們們的這現在的命令操作這塊，它透過這個bash去執行你的命令和指令碼，那你登入的時候其實進入執行的程式，其實使用者空間就叫做bin。當然還有一些其他的第二個bin files，這個就是不可登入的賬戶，比如這個賬戶它雖然存在，但是以這個為字尾的是不能登入的，可以看看最近的登入記錄命令為last，看有無可以人員的登入，然後對比下bin目錄下的bash有無被替換，然後再看下sshd的程式有無向外自動連線之類的 ，如果還是找不到伺服器中的木馬後門的話可以向網站漏洞修復服務商尋求技術支援。