龙空技术网

排查Linux服务器是否有被入侵方法总结

IT老良 530

前言:

现时大家对“centos被dos攻击”大体比较关注,同学们都想要学习一些“centos被dos攻击”的相关知识。那么小编也在网上网罗了一些关于“centos被dos攻击””的相关知识,希望我们能喜欢,我们一起来学习一下吧!

日常运维工作中,我们对Linux服务器进行安全检查也是一个非常重要的环节。今天,分享一下如何检查Linux服务器是否遭受了入侵,所谓的服务器被入侵或者说被黑了的意思,是指未经授权的人或程序为了自己的某种目的登录到服务器上,通常会产生不好的影响。一些攻击者会在访问服务器的同时滥用服务器资源,并且还不大怎么会采取措施来隐藏他们正在做的事情,所以我们就可以通过一些命令来进行排查。

以一台CentOS7操作系统服务器为例。

1.“w”命令查看服务器当前登录的全部用户,并查看当前是否有非法的IP地址登录。

2.“last”命令查看以往的登录情况,查看哪些IP地址停留时间过长,并留意未授权的IP地址。

3.“history”命令回顾命令历史。显示出入侵者曾经做过的所有事情,一定留意有没有wget 或 curl命令下载类似垃圾邮件机器人或者挖矿程序之类的非常规软件。

4.入侵者可能会修改用户名及密码文件,可以查看“/etc/passwd”及“/etc/shadow”文件内容进行鉴别。

5.“top”命令查看哪些进程在消耗CPU,攻击者会运行一些特别消耗 CPU 的进程,我们只需要运行 top命令查看最前面的那几个进程就行了,并留意一些异常的进程。

6.ps -aux”命令检查所有的系统进程。消耗 CPU 不严重的未授权进程可能不会在top中显露出来,不过我们可以通过ps 命令都列出来。检查一下是否有一些不认识的异常进程。

7.“iftop”命令检查进程的网络使用情况,找出占用大流量的连接。iftop 的功能类似top ,它会排列显示收发网络数据的进程以及他们的源地址和目的地址。类似 DoS 攻击这样的进程很容易显示在列表的最顶端。如果不支持iftop命令先使用“yum -y install iftop”进行安装。

8.查看哪些进程在监听网络连接,通常攻击者会安装一个后门程序专门监听网络端口接受指令。该进程等待期间是不会消耗 CPU 和带宽的,因此也就不容易通过top之类的命令发现。

可通过“lsof -i“命令查看。

可通过“netstat -lntup“命令查看。

以上就是如何排查Linux服务器是否有被入侵的一些方法了,另外大家还有一些好的方法建议欢迎补充咯~

标签: #centos被dos攻击