日常運維工作中,我們對linux伺服器進行安全檢查也是乙個非常重要的環節。今天,分享一下如何檢查linux伺服器是否遭受了入侵,所謂的伺服器被入侵或者說被黑了的意思,是指未經授權的人或程式為了自己的某種目的登入到伺服器上,通常會產生不好的影響。一些攻擊者會在訪問伺服器的同時濫用伺服器資源,並且還不大怎麼會採取措施來隱藏他們正在做的事情,所以我們就可以通過一些命令來進行排查。
以一台centos7作業系統伺服器為例。
1.「w」命令檢視伺服器當前登入的全部使用者,並檢視當前是否有非法的ip位址登入。
2.「last」命令檢視以往的登入情況,檢視哪些ip位址停留時間過長,並留意未授權的ip位址。
4.入侵者可能會修改使用者名稱及密碼檔案,可以檢視「/etc/passwd」及「/etc/shadow」檔案內容進行鑑別。
5.「top」命令檢視哪些程序在消耗cpu,攻擊者會執行一些特別消耗 cpu 的程序,我們只需要執行 top命令檢視最前面的那幾個程序就行了,並留意一些異常的程序。
6.「ps -aux」命令檢查所有的系統程序。消耗 cpu 不嚴重的未授權程序可能不會在top中顯露出來,不過我們可以通過ps 命令都列出來。檢查一下是否有一些不認識的異常程序。
7.「iftop」命令檢查程序的網路使用情況,找出占用大流量的連線。iftop 的功能類似top ,它會排列顯示收發網路資料的程序以及他們的源位址和目的位址。類似 dos 攻擊這樣的程序很容易顯示在列表的最頂端。如果不支援iftop命令先使用「yum -y install iftop」進行安裝。
8.檢視哪些程序在監聽網路連線,通常攻擊者會安裝乙個後門程式專門監聽網路埠接受指令。該程序等待期間是不會消耗 cpu 和頻寬的,因此也就不容易通過top之類的命令發現。
可通過「lsof -i「命令檢視。
可通過「netstat -lntup「命令檢視。
Linux伺服器排查
一 檢視當前登入使用者 w 檢視是否有異常使用者登入,有則強制斷開該使用者 pkill kill t 二 檢視使用者登入伺服器的ip資訊 last 資訊會存入 var log secure 檔案中 注意是否刪除 三 history 曾今做過什麼 注意有沒有使用wget 或 curl 等命令 五 ps...
伺服器被入侵如何排查?如何防止伺服器被入侵?
遇到很多次客戶伺服器被入侵的情況,有些伺服器被植入木馬後門 有些被檢查出有挖礦程式 有些發現登入密碼不對,被惡意登入修改了密碼,遇到了伺服器被入侵的情況應第一時間聯絡服務商售後處理將損失降低到最低程度,讓 遊戲等業務恢復。根據以往的處理經驗,總結了一些伺服器被入侵的排查方法,專門用來檢查伺服器第一時...
linux如何判斷伺服器是否被入侵
實驗幾個步驟,借鑑資料,分享給。非常感謝網上提供資料幫助的。1 當時誰登入。拓展使用 whois ip位址 追查ip所註冊的組織的所有資訊,當然包括國家資訊 1 linux 下 whois 命令列的安裝 centos 下安裝命令如下 yum install y jwhois debian ubunt...