← 返回信息流
Agent SkillLINUX DO · AI·1 小时前

使用AI杀毒

AI 深度解读

背景

在传统的服务器运维与安全排查中,面对隐蔽性极强的木马或 Rootkit,常规的系统命令往往会被篡改或绕过,导致排查工作陷入僵局。随着大语言模型在代码理解与逻辑推理能力上的突破,AI 辅助运维正在从简单的脚本生成,向深度的系统应急响应演进。本文记录了运维人员利用 AI 工具,在常规手段失效的情况下,成功排查并清理一起隐蔽木马感染的实战案例。

核心内容

本次事件源于公司一台 Linux 服务器出现异常卡顿。运维人员通过 top 命令发现 %us(用户空间 CPU 占用率)持续高达 50%,但常规排查手段遭遇了严重阻碍:使用 ps 命令查看进程时,无法找到对应的异常进程,输出结果显得十分诡异。

在常规排查遇阻后,运维人员尝试使用 perf top --sort=pid,comm 命令进行深度性能分析,终于锁定了几个高 CPU 占用的进程。然而诡异的是,这些进程的 PID 在 ps 命令中依然无迹可查,但通过 ls /proc/ 目录却能确认这些 PID 确实存在。

基于“进程存在但 ps 查不到”的典型特征,AI 立刻给出了定性判断:这是典型的木马感染。随后,运维人员通过 VSCode 远程连接到受感染的服务器,并启用 Claude Code 插件进行深度排查与清理。

在 AI 的辅助下,排查团队逐步揭开了木马的面目:

  1. 清理感染源与定时任务:首先排查并清理了定时任务(Crontab)中的可疑感染脚本,并终止了相关的可疑进程。
  2. 应对系统命令篡改:木马极其阴险,不仅隐藏了自身进程,还感染了 lsdirnetstatsystemctl 等常用系统命令,导致运维人员即便
查看原文 →linux.do