香港伺服器

18.04.2026

如何利用檔案完整性檢查發現香港伺服器中的後門

你需要保護你的香港伺服器免受網路威脅。檔案完整性檢查可以協助你偵測未授權變更，確保伺服器安全。當你建立基線時，就為後續稽核建立了一個參考點。定期監控檔案雜湊，有助於及早發現可疑活動。一套強大的檔案完整性監控系統能提升你的安全信心，並幫助你防禦後門攻擊。

關鍵重點

為伺服器檔案建立乾淨的基線，以便有效監控變更。
定期執行檔案完整性檢查，及早發現未授權變更。
立即調查每一次告警，以判斷變更是否構成威脅。
在核准變更後更新基線，維持監控結果的準確性。
將檔案完整性檢查與其他安全工具結合使用，以增強防護能力。

檔案完整性檢查基礎

什麼是檔案完整性檢查工具？

檔案完整性檢查工具透過監控關鍵檔案的變更，來協助你保護伺服器安全。你可以利用這類工具在攻擊者利用弱點之前發現安全漏洞。流程從建立基線開始。檔案完整性檢查工具會為關鍵檔案與目錄計算加密雜湊值，這個基線呈現了系統處於安全狀態時的樣貌。

提示：務必在伺服器處於乾淨且安全的狀態時建立基線。如此可以避免將既有弱點誤當成新的威脅來追蹤。

建立基線後，檔案完整性監控器會持續關注你的檔案。它可以即時或依排程檢查檔案。當檔案發生變更時，檢查工具會重新計算雜湊值並與基線比對。若雜湊不相符，你就會收到告警。此時你可以查看詳細日誌與報告，了解發生了什麼事。這個過程能協助你迅速發現弱點，並在問題擴大之前採取行動。

檔案完整性檢查的運作方式如下：

使用加密雜湊建立基線。
對檔案進行持續或定期監控。
透過比對雜湊來偵測變更。
在發生變更時向你發出告警。
協助你調查並處置發現的問題。

為什麼用檔案完整性檢查來發現後門？

你需要檔案完整性檢查來捕捉後門與其他威脅。攻擊者通常會利用弱點修改檔案或加入隱藏程式。若缺乏合適工具，這些變更往往難以察覺。檔案完整性檢查可以讓你清楚掌握伺服器上正在發生的情況。

當你看到有變更時，必須判斷它是安全還是危險。下表說明如何對變更進行分類：

變更類型	說明
已核准且正確	變更與現有變更單相符，並依計畫實作。
已核准但不正確	雖然有變更單，但實際實作與計畫不符。
意外但無害	一般例行系統操作造成的變更，對安全沒有影響。
意外且有害	未授權修改，顯示存在政策違規或完整性問題。

透過將檔案完整性監控與其他安全工具整合，你可以做出更精準的判斷。舉例而言，你可以看到是誰進行了變更、當時有哪些網路連線處於活動狀態、是否發生權限變更。這些額外脈絡有助於你識別可能導致後門的弱點。

威脅情報訂閱還能提供額外保護層。檔案完整性檢查工具可以將檔案雜湊與已知威脅資料庫比對。若發現某個檔案與惡意樣本相符，告警就會被升級。這個流程能幫助你在後門造成損害之前先行阻擋。

香港伺服器基線設定

建立檔案雜湊基線

在監控香港伺服器是否存在後門之前，你需要先建立基線雜湊。這個過程為你提供可信的參考依據。先選出最重要的檔案與目錄，重點放在系統檔案、設定檔以及網站目錄。

依照下列步驟建立基線雜湊：

列出所有關鍵檔案與目錄。
使用 sha256sum 或 md5sum 等工具產生檔案雜湊值。
將輸出結果儲存在安全位置。

以下是在 Linux 伺服器上可使用的範例指令：

find /etc /bin /usr/bin -type f -exec sha256sum {} \; > /root/baseline_hashes.txt

在執行計畫內變更後，你應即時更新基線。檔案完整性監控（FIM）系統可以協助你管理這些更新，確保始終是將目前雜湊與有效且準確的基線進行比對。

提示：務必在系統乾淨時建立基線雜湊，如此有助於你在後續辨識出不受歡迎的變更。

儲存與保護基線資料

必須防止基線資料遭竄改。若有人修改你的基線，你可能就無法發現後門。請選擇符合自身需求的安全儲存方式。

下表說明了一種強而有力的基線雜湊儲存方法：

方法	說明	安全特性
雙步雜湊編碼	一種隱私保護的紀錄連結新技術，將敏感資料編碼為整數集合表示。	提供強大的隱私保證，防止敏感值被重新識別。

將基線儲存在獨立伺服器或離線媒介上，並僅開放給受信任的管理員存取。每次比對雜湊之前，都要先檢查基線本身的完整性。這樣的作法可以保護你的香港伺服器安全，並協助你及早發現威脅。

完整性檢查流程

執行檔案完整性檢查

你需要執行檔案完整性檢查來保護伺服器免受網路攻擊。首先選擇一款可靠的工具。許多管理員會使用 AIDE、Tripwire 或 OSSEC 等開源方案。這些工具可以協助你監控檔案，並在攻擊造成損害之前加以偵測。

首先，在香港伺服器上安裝選定工具，並設定其掃描關鍵目錄與檔案。你可以使用簡單的指令來檢查某個檔案是否被修改。例如使用 AIDE 時，可以執行：

aide --check

該指令會將目前檔案狀態與基線進行比對。若檔案被修改，工具就會發出告警。你也可以使用自訂腳本自動化檢查，例如使用 Shell 腳本對重要檔案執行 sha256sum，並將結果與基線比對。

設定排程掃描，定期檢查系統。按日甚至按小時進行檢查，有助於你及早發現威脅。即時監控則可在檔案被修改的那一刻發出告警，協助你快速回應攻擊並阻止後門安裝。

注意：在核准變更完成後要即時更新基線。如此可以確保完整性檢查的準確性並降低誤報。

解讀結果中的後門跡象

在執行檔案完整性檢查之後，你必須仔細審視結果。工具會顯示哪些檔案發生了變更。並非所有變更都代表遭受攻擊或存在後門，有些屬於正常情況，但也有一些是嚴重威脅的警訊。

請特別留意以下入侵指標：

系統檔案在未經核准的情況下遭到修改。
在敏感目錄中出現新的檔案。
檔案雜湊與基線不符，且你無法提出合理解釋。
發現名稱或位置可疑的指令稿或執行檔。
檔案擁有者或權限發生異常變更。

攻擊者往往透過惡意軟體或惡意程式碼建立後門，他們可能將檔案隱藏在系統資料夾中，或修改設定檔。若發現某個檔案在未經核准的情況下被修改，就應視為潛在威脅。此時要檢查是否存在已知惡意軟體特徵碼，或將該檔案與威脅情報資料庫中的樣本比對。

在檢查過程中，你可能會遇到誤報。例如，新版本的完整性檢查工具可能會標記先前未被偵測到的新檔案。下表列出幾種常見誤報類型：

誤報類型	說明
新偵測到的檔案	由新版本 ICT 標記出的新檔案。
不相符的檔案	未發現實際誤報。

你必須逐一調查每一則告警。若發現某個被修改的檔案中包含惡意程式碼，就很可能已遭遇後門攻擊。攻擊者會利用這種方式繞過安全防護，並在系統中維持長期存取。請仔細檢視日誌、排查異常行程，並對系統進行惡意軟體掃描。若確認存在威脅，應立即啟動事故應變流程。

提示：將檔案完整性檢查與其他安全工具結合使用。這樣的策略有助於你掌握系統全貌，更快速地因應攻擊。

透過保持警覺，你可以保護香港伺服器的安全。定期檢查能幫助你在威脅、攻擊與後門造成損害之前就先行發現。對每一次無法解釋的變更都要保持高度警惕；迅速行動可以阻止惡意攻擊並確保系統安全。

後門應變處置

調查可疑變更

當你在香港伺服器上發現可疑變更時，必須迅速採取行動，以阻止後門攻擊。首先取得 root 權限並執行系統檔案完整性檢查。可以使用 sudo su - 和 verify_file_integ.sh -f 等指令確認檔案完整性。若系統版本低於 7.4.0，需在執行檢查前設定 FIPS_MODE 環境變數。若完整性檢查失敗，請連線至 FMC CLI 並進入 expert 模式，以蒐集更多資訊。

你需要蒐集證據來了解威脅情況。執行指令尋找並計算重要檔案的雜湊值，例如：find /var/sf/.icdb/* -name *.icdb.RELEASE.tar | xargs sha512sum。使用 cat /proc/*/smaps > /tmp/all-process-smaps.txt 檢視記憶體對映。將這些檔案打包歸檔並為歸檔檔案產生雜湊值，然後透過 sftp 或 scp 等安全方式將歸檔檔案從平台匯出。這個流程有助於你追蹤攻擊來源，並判斷是否存在 darknimbus 後門或其他惡意程式碼。

你也可以使用 ADAudit Plus 等工具監控檔案變更。檢查 Windows 安全事件 ID，例如 4663、4656、4660、4670 和 5146。這些日誌可以顯示是誰存取、修改或刪除檔案，有助於你識別可能代表後門或其他威脅的未授權行為。

修復步驟

一旦確認存在後門，必須立即採取措施，防止伺服器持續遭受威脅。首先，將受影響伺服器自網路中隔離，以阻斷攻擊並避免資料遺失。接著，透過建立磁碟映像並記錄所有正在執行的行程來保留鑑識證據。這些資訊有助於你了解威脅的入侵路徑，以及 darknimbus 後門或其他惡意軟體是否仍處於活動狀態。

請立即變更所有密碼。攻擊者通常會在後門攻擊過程中竊取憑證。在做出變更之前，先為系統目前狀態建立快照。使用系統化的惡意軟體偵測方法，尋找並移除所有惡意程式碼痕跡。對所有關鍵檔案與目錄進行惡意軟體掃描，留意 darknimbus 後門的跡象，因為它經常隱藏在系統資料夾中，若未被完全清除，可能再次發動攻擊。

你也應將事件回報給安全團隊，並遵循組織既定的應變流程。詳細記錄所有處置步驟，這將協助你改善防禦措施，防止類似威脅再度發生。定期訓練與更新可以讓團隊隨時做好因應後門攻擊及其他安全威脅的準備。