Linux Web 服务器入侵排查怎么做？四层溯源步骤及工具推荐

当 Web 服务器出现异常（如页面篡改、响应缓慢、陌生文件增多）时，需立即启动排查流程 —— 核心原则是 “先固定证据，再分层溯源，避免破坏入侵痕迹”。本文基于 Linux 系统（Nginx/Apache）场景，梳理从紧急处理到深度排查的实操步骤，覆盖日志、网络、系统、应用四层关键维度，兼顾新手易懂性与运维专业性。

一、紧急处理：先 “锁死” 现场，避免痕迹破坏

1. 限制网络访问（而非直接断网）

   若服务器需对外提供服务，不建议直接断开网络（可能丢失实时入侵痕迹），可通过防火墙临时限制访问：
   • 仅允许管理员 IP 访问核心端口（如 SSH 22、Web 80/443）：
     bash

     # 以iptables为例，仅允许192.168.1.100访问22端口 iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT
     iptables -A INPUT -p tcp --dport 22 -j DROP
   • 若已确认服务器被完全控制（如发现远程控制进程），则立即断开外网，避免攻击者进一步篡改数据。
2. 固定关键证据

   用只读方式备份入侵相关数据，防止被攻击者删除或篡改：
   • 备份日志文件（Web 日志、系统日志、应用日志）：
     bash

     # 打包Nginx日志（假设路径为/var/log/nginx） tar -czf nginx_log_backup_$(date +%F).tar.gz /var/log/nginx/* --no-overwrite-dir # 备份系统登录日志 cp /var/log/auth.log /var/log/auth.log_backup_$(date +%F) 
   • 保存当前进程与网络连接状态：
     bash

     # 保存进程列表（含PID、用户、命令行） ps aux > process_list_$(date +%F).txt # 保存网络连接（含IP、端口、连接状态） netstat -antp > net_connections_$(date +%F).txt # 或用ss命令（更高效）：ss -antp > net_connections_$(date +%F).txt 
   • 对 Web 根目录文件做快照（用于后续对比篡改内容）：
     bash

     # 生成文件MD5值列表（后续可对比完整性） find /var/www/html -type f -exec md5sum {} \; > web_files_md5_$(date +%F).txt

二、第一层排查：日志分析 —— 找到入侵 “时间线”

1. Web 服务器日志：追踪 HTTP 请求异常

• 异常 IP 与高频请求

  找频繁发起请求的 IP（可能是暴力破解或爬虫攻击），或来自陌生地域的 IP：
  bash

  # Nginx日志示例：统计POST请求TOP10的IP（POST易用于提交恶意数据） grep -i "POST" /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -10 # 查看某异常IP（如1.2.3.4）的所有请求，定位访问路径 grep "1.2.3.4" /var/log/nginx/access.log | awk '{print $1,$7,$9}' # $7是URL，$9是状态码 
  关键判断点：IP 来自非业务区域（如境外陌生 IP）、请求频率远超正常用户（如每秒 10 + 次）、状态码异常（如 404（访问不存在页面，可能探测路径）、500（恶意请求触发应用报错））。
• 可疑请求路径与参数

  排查是否有访问后门文件（如shell.php、eval.php）或携带恶意参数（如union select（SQL 注入）、<?php（文件上传））的请求：
  bash

  # 查找包含webshell特征的请求（如eval、base64_decode） grep -E "eval|base64_decode|assert" /var/log/nginx/access.log # 查找访问非标准路径的请求（如/admin_xxx、/test/shell.php） grep -v -E "\.html|\.css|\.js|\.jpg" /var/log/nginx/access.log | awk '{print $7}' | sort | uniq -c | sort -nr 

2. 系统日志：追踪登录与权限变更

• SSH 登录日志（/var/log/auth.log 或 /var/log/secure）

  排查是否有异常 IP 登录成功，或暴力破解尝试：
  bash

  # 查看SSH登录成功的记录（找陌生IP） grep "Accepted password" /var/log/auth.log | awk '{print $1,$2,$3,$11,$13}' # $11是IP，$13是用户名 # 查看暴力破解记录（Failed password） grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | head -5 
  关键风险点：root 用户被陌生 IP 登录、非工作时间（如凌晨 2-5 点）有登录记录、批量失败后突然登录成功（可能密码已泄露）。
• 系统事件日志（/var/log/messages 或 /var/log/syslog）

  排查是否有异常进程启动（如bash -i（交互式 shell）、nc（端口转发））或文件篡改：
  bash

  # 查找包含可疑进程名的日志（如nc、reverse_shell） grep -E "nc|netcat|bash -i|reverse" /var/log/messages # 查找sudo权限使用记录（可能是攻击者提权操作） grep "sudo" /var/log/messages

三、第二层排查：网络层面 —— 找异常端口与连接

1. 查看开放端口：找非业务端口

# 查看所有监听端口（-t：TCP，-u：UDP，-l：监听，-n：数字端口，-p：关联进程） netstat -tulnp # 或用ss命令（更适合大并发场景） ss -tulnp 

• 非业务端口监听（如 9001、6666，可能是后门端口）；
• 监听地址为0.0.0.0（允许所有 IP 访问，而非仅本地127.0.0.1）；
• 关联进程为陌生程序（如/tmp/xxx，而非nginx、apache）。

2. 查看当前连接：找异常外部 IP

# 查看ESTABLISHED（已建立）状态的连接，过滤业务IP（如排除数据库IP 192.168.1.200） netstat -antp | grep ESTABLISHED | grep -v "192.168.1.200" # 查看所有出站连接（服务器主动连外部的IP，可能是攻击者控制端） ss -antp | grep ESTABLISHED | awk '{print $5}' | cut -d: -f1 | sort | uniq -c 

四、第三层排查：系统层面 —— 找异常进程、账户与文件

1. 异常进程：找 CPU / 内存高、路径可疑的进程

• CPU / 内存占用异常的进程：如无名进程占用 CPU 50% 以上，或内存持续增长；
• 路径可疑的进程：如进程路径在/tmp、/var/tmp（临时目录，易被篡改），或名称类似系统进程（如sshd伪装成sshd123）；
• 无文件的进程：用ls /proc/[PID]/exe查看进程对应的可执行文件，若显示 “No such file or directory”，则可能是进程文件被删除（攻击者掩盖痕迹）。

# 查看所有进程，按CPU排序，重点看非系统进程 top -b -n 1 | head -20 # 查看进程完整路径与命令行（避免名称伪装） ps auxf # f参数显示进程树，可看父进程关系（如异常进程的父进程是nginx，可能是Web漏洞衍生） # 检查进程对应的文件是否存在（PID替换为可疑进程ID） ls -l /proc/1234/exe # 1234为PID 

2. 特权账户：找新增或篡改的用户

# 查看/etc/passwd，找UID=0（root权限）的用户（正常仅root） grep "x:0:" /etc/passwd # 查看最近修改的用户文件（近7天内） find /etc -name "passwd*" -o -name "shadow*" -mtime -7 -ls # 查看所有用户，对比业务常用账户（如发现陌生用户test123，且UID=0，则异常） cat /etc/passwd | cut -d: -f1 

3. 篡改 / 新增文件：找 Web 后门与恶意程序

• Web 根目录排查

  找最近新增 / 修改的文件、名称可疑的文件（如image.php但内容是 PHP 代码）、隐藏文件（如.htaccess被篡改）：
  bash

  # 查找Web根目录（如/var/www/html）近24小时内修改的.php文件（后门多为.php） find /var/www/html -name "*.php" -mtime -1 -ls # 查找内容包含webshell特征的文件（如eval、system函数） grep -r -E "eval\(|system\(|exec\(|shell_exec\(" /var/www/html --include="*.php" # 检查.htaccess是否被篡改（可能添加跳转规则或隐藏后门） cat /var/www/html/.htaccess | grep -E "RewriteRule|php_value" 
• 系统目录排查

  找/tmp、/var/tmp等临时目录的陌生文件（攻击者常在此存放恶意程序），或系统命令被替换（如ls、ps被篡改，隐藏异常进程）：
  bash

  # 查看/tmp目录下的可执行文件（如.sh、.bin） find /tmp -type f -executable -ls # 检查系统命令完整性（对比正常服务器的md5值，如ls命令） md5sum /bin/ls # 若与正常服务器差异大，可能被篡改 

五、第四层排查：Web 应用层面 —— 找漏洞与后门

1. 应用配置文件：查看数据库配置（如config.php）是否被修改，是否泄露账号密码；
2. 上传目录：排查是否有非图片 / 文档的文件（如xxx.php），攻击者可能通过文件上传漏洞上传后门；
3. 第三方组件：检查是否使用有漏洞的组件（如旧版本 ThinkPHP、Struts2），可通过composer.json（PHP）、package.json（Node.js）查看组件版本，对比 CVE 漏洞库。

六、工具辅助：提升排查效率

1. 服务器安全软件
   • 安全狗（Linux 版）：实时监控进程、端口、文件篡改，自动拦截异常 IP；
   • 云锁 / 护卫神：侧重 Web 后门查杀与漏洞扫描，支持一键清理 webshell。
2. 恶意代码检测工具
   • rkhunter/chkrootkit：检测 Linux rootkit（隐藏恶意程序的工具）：
     bash

     rkhunter --check # 全量检测系统异常 
   • ClamAV：开源杀毒软件，扫描恶意文件：
     bash

     clamscan -r /var/www/html # 递归扫描Web目录 
3. Web 后门查杀工具
   • D 盾（Linux 版）/ 河马 webshell 查杀：专门识别 PHP、JSP 等 Web 后门，误报率低，支持批量扫描。

七、排查后：加固与复盘，避免再次入侵

1. 清除入侵痕迹：删除陌生账户、杀死异常进程、删除后门文件、还原被篡改的系统命令与配置；
2. 修补漏洞：升级有漏洞的 Web 组件、修复文件上传 / SQL 注入等漏洞、关闭非必要端口；
3. 强化权限：设置复杂密码（如 12 位以上含大小写 + 数字 + 符号）、禁用 root 直接 SSH 登录、限制 Web 目录写入权限（如上传目录仅允许写，不允许执行）；
4. 开启审计：配置系统审计日志（如auditd），实时记录文件修改、进程启动等操作，便于下次快速溯源；
5. 复盘入侵路径：总结 “攻击者如何入侵”（如通过某漏洞→上传后门→新增账户），形成文档，避免同类问题再次发生。