一、背景 上周有朋友反映一台服务器流量超标， 怀疑中木马，请求帮忙处理，平时长期在应用层打杂习惯了，其实并没有什么底气去排查系统底层后门这些东西 。但是既然有需求，当然还是尽力去解决。当然这一过程也受益匪浅，就和大家分享一下。 二、发现和追踪过程 1. 查看系统状态信息发现问题 发现目标主机存在可疑IP连接信息 经排查系tmp目录下的可疑文件Welcom运行，同时发现了复制在bi