判断Linux服务器是否被入侵 (综合服务 - 电脑网络)
信息号码: 2996687 类别: 综合服务 - 电脑网络
判断Linux服务器是否被入侵 | |
判断Linux服务器是否被入侵 Telegram:@CdnCloud_YiBing QQ:772296682 检查 1 - 当前都有谁在登录? 你首先要查看当前都有谁登录在服务器上。发现攻击者登录到服务器上进行操作并不复杂。 其对应的命令是 w。运行 w 会输出如下结果: 08:32:55 up 98 days, 5:43, 2 users, load average: 0.05, 0.03, 0.00USER TTY FROM LOGIN IDLE JCPU PCPU WHAT root pts/0 113.174.161.1 08:26 0.00s 0.03s 0.02s ssh root@coopeaa12root pts/1 78.31.109.1 08:26 0.00s 0.01s 0.00s w 检查 2 - 谁曾经登录过? Linux 服务器会记录下哪些用户,从哪个 IP,在什么时候登录的以及登录了多长时间这些信息。使用 last 命令可以查看这些信息。 输出类似这样: root pts/1 78.31.109.1 Thu Nov 30 08:26 still logged inroot pts/0 113.174.161.1 Thu Nov 30 08:26 still logged inroot pts/1 78.31.109.1 Thu Nov 30 08:24 - 08:26 (00:01) root pts/0 113.174.161.1 Wed Nov 29 12:34 - 12:52 (00:18) root pts/0 14.176.196.1 Mon Nov 27 13:32 - 13:53 (00:21) 这里可以看到英国 IP 和越南 IP 交替出现,而且最上面两个 IP 现在还处于登录状态。如果你看到任何未经授权的 IP,那么请参阅最后章节。 检查 3 - 回顾命令历史 这个层次的攻击者通常不会注意掩盖命令的历史记录,因此运行 history 命令会显示出他们曾经做过的所有事情。 一定留意有没有用 wget 或 curl 命令来下载类似垃圾邮件机器人或者挖矿程序之类的非常规软件。 检查 4 - 哪些进程在消耗 CPU? 你常遇到的这类攻击者通常不怎么会去掩盖他们做的事情。他们会运行一些特别消耗 CPU 的进程。这就很容易发现这些进程了。只需要运行 top 然后看最前的那几个进程就行了。 这也能显示出那些未登录进来的攻击者。比如,可能有人在用未受保护的邮件脚本来发送垃圾邮件。 检查 5 – 检查所有的系统进程 消耗 CPU 不严重的未授权进程可能不会在 top 中显露出来,不过它依然可以通过 ps 列出来。命令 ps auxf 就能显示足够清晰的信息了。 你需要检查一下每个不认识的进程。经常运行 ps (这是个好习惯)能帮助你发现奇怪的进程。 检查 6 - 检查进程的网络使用情况 iftop 的功能类似 top,它会排列显示收发网络数据的进程以及它们的源地址和目的地址。类似 DoS 攻击或垃圾机器人这样的进程很容易显示在列表的最顶端。 检查 7 - 哪些进程在监听网络连接? 通常攻击者会安装一个后门程序专门监听网络端口接受指令。该进程等待期间是不会消耗 CPU 和带宽的,因此也就不容易通过 top 之类的命令发现。 lsof 和 netstat 命令都会列出所有的联网进程。我通常会让它们带上下面这些参数:lsof -i netstat -plunt 你需要留意那些处于 LISTEN 和 ESTABLISHED 状态的进程,这些进程要么正在等待连接(LISTEN),要么已经连接(ESTABLISHED)。如果遇到不认识的进程,使用 strace 和 lsof 来看看它们在做什么东西。 我是怡冰,需要服务器可以联系我哦~ Telegram:@CdnCloud_YiBing QQ:772296682 欢迎咨询 24 个小时 ~ | |
| 相关链接: (无) 面向省市区: 全国 面向市区县: 全部 最后更新: 2024-03-06 11:16:57 | 发 布 者: Yibing 联系电话: (无) 电子邮箱: (无) 浏览次数: 17 |
© 2024 网络广告(中国) CNNetAds.com