linux如何判斷伺服器是否被入侵

2021-08-13 09:06:37 字數 2479 閱讀 7535

實驗幾個步驟,借鑑網友資料,分享給網友。非常感謝網上提供資料幫助的網友。

1-當時誰登入。

[拓展使用#whois ip位址(追查ip所註冊的組織的所有資訊,當然包括國家資訊)]

1、linux 下 whois 命令列的安裝

centos 下安裝命令如下:

yum install -y jwhois

debian/ubuntu 下安裝命令如下:

apt-get install -y whois

2、linux 下 whois 命令列的配置檔案

這裡以 centos 6.6 x64 為例,預設的配置檔案是 /etc/jwhois.conf ,預設支援頂級通用網域名稱以及國別網域名稱,如果要查詢其他字尾的網域名稱,則要修改此配置檔案。

我們以作者 github 頁面的最新配置來替換掉該配置檔案。命令如下:

替換完成後,我們來查詢一下試試看。比如查詢 com.google,如下圖所示:

本例:搜尋ip位址的註冊地:

2- 檢視以往誰登入過

登入後歷史記錄會保留在 /var/log/wtmp 檔案中

2- 回顧命令歷史

命令歷史儲存記錄在 ~/.bash_history 檔案中,攻擊者會刪除內部資訊,如果執行history 命令沒有輸出東西,就要當心了

3- 哪些程序在消耗cpu?

例如:

(losf缺少依賴包,我的系統裡面找不到指令,這裡不做講解。)

4- 檢查所有的系統程序

使用ps auxf 就能足夠顯示清晰的資訊。

5- 檢查程序的網路使用情況

iftop 的功能類似top ,他會排列顯示收發網路資料的程序以及他們的源位址和目的位址。

(引薦:

6- 哪些程序在監聽網路連線

攻擊者會安裝乙個後門程式專門監聽網路埠接受指令。程序等待期間是不會消耗cpu和寬頻,我通常會讓他們帶上下面這些引數

1. lsof –i

2. netstat –plunt

需要留意listen和established的狀態程序,這些程序要麼正在等待連線,要麼已經連線(established.)如果遇到不認識的程序,使用strace 和 lsof.

(strace用法:

7- 終極辦法

關機拔網線 執行#shutdown –h now 或者 systemct1 poweroff.

如果你對自己頗有自信,而你的主機提供商也有提供上游防火牆,那麼你只需要以此建立並啟用下面兩條規則就行了:

☉ 只允許從你的 ip 位址登入 ssh。

☉ 封禁除此之外的任何東西,不僅僅是 ssh,還包括任何埠上的任何協議。

這樣會立即關閉攻擊者的 ssh 會話,而只留下你可以訪問伺服器。

如果你無法訪問上游防火牆,那麼你就需要在伺服器本身建立並啟用這些防火牆策略,然後在防火牆規則起效後使用 kill 命令關閉攻擊者的 ssh 會話。( 譯註:本地防火牆規則 有可能不會阻止已經建立的 ssh 會話,所以保險起見,你需要手工殺死該會話。)

最後還有一種方法,如果支援的話,就是通過諸如序列控制台之類的帶外連線登入伺服器,然後通過 systemctl stop network.service 停止網路功能。這會關閉所有伺服器上的網路連線,這樣你就可以慢慢的配置那些防火牆規則了。

重奪伺服器的控制權後,也不要以為就萬事大吉了。

不要試著修復這台伺服器,然後接著用。你永遠不知道攻擊者做過什麼,因此你也永遠無法保證這台伺服器還是安全的。

最好的方法就是拷貝出所有的資料,然後重灌系統。(譯註:你的程式這時已經不可信了,但是資料一般來說沒問題。)

如何判斷伺服器是否被入侵了?

前言 暴露在公網的伺服器多多少少都會遇到被 侵犯 的機遇。如何深入了解 入侵 以及檢查 入侵 不著急,小編給大家簡單solo下。什麼叫 入侵 伺服器被入侵不是一件小事,一旦被入侵了重要的服務,會產生不可預估的風險。伺服器入侵可分為以下四種 1.未經授權 2.獲取敏感資料 3.篡改資料 4.控制資產。...

如何看Linux伺服器是否被攻擊

俗稱 指令碼小鬼 的傢伙是屬於那種很糟糕的黑客,因為基本上他們中的許多和大多數人都是如此的沒有技巧。可以這樣說,如果你安裝了所有正確的補丁,擁有經過測試的防火牆,並且在多個級別都啟用了先進的入侵檢測系統,那麼只有在一種情況下你才會被黑,那就是,你太懶了以至沒去做該做的事情,例如,安裝bind的最新補...

如何看Linux伺服器是否被攻擊

俗稱 指令碼小鬼 的傢伙是屬於那種很糟糕的黑客,因為基本上他們中的許多和大多數人都是如此的沒有技巧。可以這樣說,如果你安裝了所有正確的補丁,擁有經過測試的防火牆,並且在多個級別都啟用了先進的入侵檢測系統,那麼只有在一種情況下你才會被黑,那就是,你太懶了以至沒去做該做的事情,例如,安裝bind的最新補...