linu伺服器是否被攻擊怎麼判斷

首頁 > 科技
時間 2021-10-14 20:23:48

1樓:百元新

以下幾種方法檢測linux伺服器是否被攻擊:

1、檢查系統密碼檔案

首先從明顯的入手,檢視一下passwd檔案,ls –l /etc/passwd檢視檔案修改的日期。

2、檢視一下程序,看看有沒有奇怪的程序

重點檢視程序:ps –aef | grep inetd inetd是unix系統的守護程序,正常的inetd的pid都比較靠前,如果看到輸出了一個類似inetd –s

/tmp/.***之類的程序,著重看inetd

–s後面的內容。在正常情況下,linux系統中的inetd服務後面是沒有-s引數的,當然也沒有用inetd去啟動某個檔案;而solaris系統中

也僅僅是inetd

–s,同樣沒有用inetd去啟動某個特定的檔案;如果使用ps命令看到inetd啟動了某個檔案,而自己又沒有用inetd啟動這個檔案,那就說明已經有人入侵了系統,並且以root許可權起了一個簡單的後門。

3、檢查系統守護程序

檢查/etc/inetd.conf檔案,輸入:cat /etc/inetd.conf | grep –v 「^#」,輸出的資訊就是這臺機器所開啟的遠端服務。

一般入侵者可以通過直接替換in.***程式來建立一個後門,比如用/bin/sh 替換掉in.telnetd,然後重新啟動inetd服務,那麼telnet到伺服器上的所有使用者將不用輸入使用者名稱和密碼而直接獲得一個rootshell。

4、檢查網路連線和監聽埠

輸入netstat -an,列出本機所有的連線和監聽的埠,檢視有沒有非法連線。

輸入netstat –rn,檢視本機的路由、閘道器設定是否正確。

輸入 ifconfig –a,檢視網絡卡設定。

5、檢查系統日誌

命令last |

more檢視在正常情況下登入到本機的所有使用者的歷史記錄。但last命令依賴於syslog程序,這已經成為入侵者攻擊的重要目標。入侵者通常會停止系

統的syslog,檢視系統syslog程序的情況,判斷syslog上次啟動的時間是否正常,因為syslog是以root身份執行的,如果發現

syslog被非法動過,那說明有重大的入侵事件。

在linux下輸入ls –al /var/log

檢查wtmp utmp,包括messgae等檔案的完整性和修改時間是否正常,這也是手工擦除入侵痕跡的一種方法。

6、檢查系統中的core檔案

通過傳送畸形請求來攻擊伺服器的某一服務來入侵系統是一種常規的入侵方法,典型的rpc攻擊就是通過這種方式。這種方式有一定的成功率,也就是說並不能

100%保證成功入侵系統,而且通常會在伺服器相應目錄下產生core檔案,全域性查詢系統中的core檔案,輸入find / -name core

–exec ls –l {} \; 依據core所在的目錄、查詢core檔案來判斷是否有入侵行為。

7、檢查系統檔案完整性

檢查檔案的完整性有多種方法,通常通過輸入ls –l

檔名來查詢和比較檔案,這種方法雖然簡單,但還是有一定的實用性。但是如果ls檔案都已經被替換了就比較麻煩。在linux下可以用rpm –v

`rpm –qf 檔名`

來查詢,查詢的結果是否正常來判斷檔案是否完整。在linux下使用rpm來檢查檔案的完整性的方法也很多,這裡不一一贅述,可以man

rpm來獲得更多的格式。

幾條判斷linux伺服器是否被入侵的技巧

怎樣檢視伺服器是否被攻擊?

2樓:幾米學姐

ddos攻擊,直接找機房要流量圖就看得到。把伺服器ip打掛了,連線不上伺服器,不通了。

cc攻擊:cpu變得很高,操作很卡,可以先讓伺服器商分析下,進伺服器裡看下,現在很多伺服器安全軟體,市面有云盾,金盾,cdn等各種防護軟體。

伺服器被攻擊的基本處理辦法:

檢查系統日誌,檢視下是什麼型別的攻擊,看下攻擊者都去了哪些地方。內容是否又被修改的痕跡等,如果發現問題及時進行清理。

關閉不必要的服務和埠。

定期整體掃描下伺服器,看下存在什麼問題, 有漏洞及時打補丁;檢查是否有影子賬戶,不是自己建立的賬號等。

重新設定賬戶密碼,密碼設定的複雜些;以及設定賬戶許可權。

對伺服器上的安全軟體進行升級,或者是對防護引數進行重新設定,使他符合當時的環境。如果沒有安裝,可以安裝個伺服器安全狗,同時,還可以將伺服器新增到安全狗服雲平臺上,這樣當有攻擊發生時,可以快速知道,並進行處理等。

檢測**,是否又被掛馬、被篡改、掛黑鏈等,如果有,及時清理。

如果是大流量攻擊,可以看下doss流量清洗,這個很多安全廠商都有這個服務。

定期備份資料檔案。如果之前有做備份,可以對重要資料進行替換。

如果不希望被攻擊的話推薦租用高防伺服器。

如何防範伺服器被攻擊,伺服器經常被攻擊,如何防範

360安全衛士 伺服器攻擊一般都利用了弱口令漏洞和系統漏洞等方式遠端登入你的伺服器,然後執行勒索病毒或暗藏挖礦病毒等 防範措施 a.高強度密碼 8位以上,採用大寫字母 小寫小寫 數字 符號 舉例 hanl936582 b.不要使用弱口令密碼 顧名思義弱口令就是沒有嚴格和準確的定義,通常認為容易被別人...

伺服器被ddos攻擊了怎麼辦,伺服器被ddos攻擊應該怎麼辦?

資料灣 1.減少公開暴露 對於企業來說,減少公開暴露是防禦 ddos 攻擊的有效方式,對 psn 網路設定安全群組和私有網路,及時關閉不必要的服務等方式,能夠有效防禦網路黑客對於系統的窺探和入侵。具體措施包括禁止對主機的非開放服務的訪問,限制同時開啟的 syn 最大連線數,限制特定 ip 地址的訪問...

伺服器被ddos攻擊應該怎麼辦

誰來拯救低頭族 ddos的攻擊方式有很多種,最基本的ddos攻擊就是利用合理的服務請求來佔用過多的服務資源,從而使合法使用者無法得到服務的響應。單一的ddos攻擊一般是採用一對一方式的,當攻擊目標cpu速度低 記憶體小或者網路頻寬小等等各項指標不高的效能,它的效果是明顯的。隨著計算機與網路技術的發展...