什么是CS木马简单通俗来讲它的全名是Cobalt Strike 是一款以Metasploit为基础的GUI框架式渗透测试工具，集成了端口转发、服务扫描，自动化溢出，多模式端口监听，exe、powershell木马生成等，而且可以加载到任意进程捆绑维持权限的一种免杀木马，很多网站被入侵后，都会被黑客利用WIN系统的一些系统漏洞进行提权并上传CS木马来留反向后门。是日后控制网站和服务器的权限一道便捷后门。

为什么CS木马这么受欢迎，因为他的免杀效果好，能躲避360，火绒，QQ管家等主流杀毒软件，而且体积小，可以捆绑到任意进程的EXE随之启动，从而达到创建后门方便日后进来操控。而且直接443端口反向监听上线。很多WINDOWS服务器遭受到了这个反向的免杀木马，使很多运维人员束手无策，反反复复被入侵篡改网站，导致被劫持跳转。使得运维人员很被动，动不动被入侵，搞的在领导面前很没有面子，整天被叫到办公室挨训。所以我门SINESAFE在这里整理了下查杀CS木马的一些经验和技巧，让更多的运维人员能快速处理掉安全问题。

1.首先查看下当前系统的反向连接端口都开了哪些，然后看看对应的服务项是否有被篡改的迹象，对比下修改时间。

2.cmd命令运行netstat -an看看都有哪些IP在连接哪些端口，并一一对应查看。

3.看看有无反向连接到443端口的IP和进程，如果有的话就对应进程ID查找所属程序，然后看看这个程序有无和之前的大小体积不一样。

4.服务器里如果安装了IIS，就要留意下是否站点在百度的收录里有大量的垃圾快照标题之类的。

5.查看下系统的Guest用户的所属组是否被篡改成了administrators组里。看看最近的登录日志，有无其他陌生地区的IP登录服务器。

6.如果实在搞不定查不到木马的话可以向网站安全公司寻求帮助，国内如SINE安全，鹰盾安全，启明星辰，大树安全等都是有丰富的安全经验。

7.查到对应的反向连接到443可疑的IP的时候可疑直接把此IP直接禁止访问即可。