linux服务器有后门如何排查SSH木马

关于SSH后门木马查杀，那SSH协议其实它是一个加密的网络传输协议，通常咱们使用它作为Linux管理使用，那它用来传输命令界面和远程执行命令，也就是咱们现在看到的这个界面，通常计算机被入侵之后，如果这个计算机是暴露在外网的，或者是横向打穿了某一台服务器，以另一台服务器作为跳板跳到其他服务器上。一般来说，通过SSH登陆会非常的方便操作命令这个时候是不是就有后门的诞生了。

比如我现在想要登录这台服务器，我就有账号密码，那看一下咱们现在这里有什么账户，只有一个whale Labe，这个账户就是咱们目前登录的，那攻击者新创建一个账户可不可能，那是可以的，比如我现在创建一个叫hack，现在新建了一个账户，现在看不到，那这是第一种看到账户的方法。来看一下第二种，看这里边有两个账户，其中是whale label和hack，hack我其实没有设置密码，这里就不设置了。我给大家说的是这个文件里可以看到所有的账户 Linux是通过读取这个文件找到账户的，所以所有的账户必须在passwd里边。如果计算机多出来的用户，它一定在这里仔细排查这些账户，如果不是公司使用的账户，那么及时和运维确认，看一下普及一下后边的一个小知识。

咱们可以看到后边有一些东西，那这都是做什么的，看bin，这也是咱们最常见的bin/bash，就是咱们的这现在的命令操作这块，它通过这个bash去执行你的命令和脚本，那你登录的时候其实进入执行的程序，其实用户空间就叫做bin。当然还有一些其他的第二个bin files，这个就是不可登录的账户，比如这个账户它虽然存在，但是以这个为后缀的是不能登录的，可以看看最近的登录记录命令为last，看有无可以人员的登录，然后对比下bin目录下的bash有无被替换，然后再看下sshd的进程有无向外自动连接之类的。