【Linux】服务器被植入后门程序（一）

阿里论坛有一篇肉鸡类问题排查思路的文章，按照上面的思路找了找

没发现异常登录，没有头绪。

可以通过tcpdump命令进行抓包，我将抓取的数据存入一个文件之后进行观察

抓包文件可以通过一些工具进行分析，我用Wiresherk查看了一下，发现服务器不断向美国、香港等服务器发包。

但是仍没有进攻行为，还是没能找到程序所在。

当下做了个决定，既然暂时找不到，就先封锁他的行为吧。

这样一定程度上阻止了异地的访问

重启服apache务器，这样恶意发的包就发不出去，带宽占用又降回正常了。

但是病毒文件还是没有找到，仍在排查。

阿里论坛有一篇防止PHPDDOS攻击的文章

反向连接后门和普通后门的主要区别在于它们与命令和控制服务器（C&C）之间的通信方式不同。
普通后门会在受害者主机上启动一个服务，等待攻击者向其发送指令。攻击者可以通过连接到该服务并发送命令来控制受害者主机。
反向连接后门则是在受害者主机上启动一个客户端程序，并在启动后立即开始连接到指定的C&C服务器。一旦建立连接，C&C服务器就可以向反向连接后门发送命令来控制受害者主机。
反向连接后门的优点是更加难以检测和防御，因为它们不需要在受害者主机上启动明显的服务，并且可以使用基于加密或混淆的通信协议来隐蔽通信。缺点是与C&C服务器的通信可能会受到网络上的阻碍和干扰。

---