linux如何判斷伺服器是否被入侵

實驗幾個步驟，借鑑網友資料，分享給網友。非常感謝網上提供資料幫助的網友。

1-當時誰登入。

[拓展使用#whois ip位址（追查ip所註冊的組織的所有資訊，當然包括國家資訊）]

1、linux 下 whois 命令列的安裝

centos 下安裝命令如下：

yum install -y jwhois

debian/ubuntu 下安裝命令如下：

apt-get install -y whois

2、linux 下 whois 命令列的配置檔案

這裡以 centos 6.6 x64 為例，預設的配置檔案是 /etc/jwhois.conf ，預設支援頂級通用網域名稱以及國別網域名稱，如果要查詢其他字尾的網域名稱，則要修改此配置檔案。

我們以作者 github 頁面的最新配置來替換掉該配置檔案。命令如下：

替換完成後，我們來查詢一下試試看。比如查詢 com.google，如下圖所示：

本例：搜尋ip位址的註冊地：

2- 檢視以往誰登入過

登入後歷史記錄會保留在 /var/log/wtmp 檔案中

2- 回顧命令歷史

命令歷史儲存記錄在 ~/.bash_history 檔案中，攻擊者會刪除內部資訊，如果執行history 命令沒有輸出東西，就要當心了

3- 哪些程序在消耗cpu？

例如：

（losf缺少依賴包，我的系統裡面找不到指令，這裡不做講解。）

4- 檢查所有的系統程序

使用ps auxf 就能足夠顯示清晰的資訊。

5- 檢查程序的網路使用情況

iftop 的功能類似top ,他會排列顯示收發網路資料的程序以及他們的源位址和目的位址。

（引薦：

6- 哪些程序在監聽網路連線

攻擊者會安裝乙個後門程式專門監聽網路埠接受指令。程序等待期間是不會消耗cpu和寬頻，我通常會讓他們帶上下面這些引數

1. lsof –i

2. netstat –plunt

需要留意listen和established的狀態程序，這些程序要麼正在等待連線，要麼已經連線（established.）如果遇到不認識的程序，使用strace 和 lsof.

（strace用法：

7- 終極辦法

關機拔網線執行#shutdown –h now 或者 systemct1 poweroff.

如果你對自己頗有自信，而你的主機提供商也有提供上游防火牆，那麼你只需要以此建立並啟用下面兩條規則就行了：

☉ 只允許從你的 ip 位址登入 ssh。

☉ 封禁除此之外的任何東西，不僅僅是 ssh，還包括任何埠上的任何協議。

這樣會立即關閉攻擊者的 ssh 會話，而只留下你可以訪問伺服器。

如果你無法訪問上游防火牆，那麼你就需要在伺服器本身建立並啟用這些防火牆策略，然後在防火牆規則起效後使用 kill 命令關閉攻擊者的 ssh 會話。（譯註：本地防火牆規則有可能不會阻止已經建立的 ssh 會話，所以保險起見，你需要手工殺死該會話。）

最後還有一種方法，如果支援的話，就是通過諸如序列控制台之類的帶外連線登入伺服器，然後通過 systemctl stop network.service 停止網路功能。這會關閉所有伺服器上的網路連線，這樣你就可以慢慢的配置那些防火牆規則了。

重奪伺服器的控制權後，也不要以為就萬事大吉了。

不要試著修復這台伺服器，然後接著用。你永遠不知道攻擊者做過什麼，因此你也永遠無法保證這台伺服器還是安全的。

最好的方法就是拷貝出所有的資料，然後重灌系統。（譯註：你的程式這時已經不可信了，但是資料一般來說沒問題。）

linux如何判斷伺服器是否被入侵

如何判斷伺服器是否被入侵了？

如何看Linux伺服器是否被攻擊

如何看Linux伺服器是否被攻擊

linux如何判斷伺服器是否被入侵

如何判斷伺服器是否被入侵了？

如何看Linux伺服器是否被攻擊

如何看Linux伺服器是否被攻擊

相關推薦