如何判斷伺服器是否被入侵了？

前言

暴露在公網的伺服器多多少少都會遇到被「侵犯」的機遇。如何深入了解「入侵」以及檢查「入侵」，不著急，小編給大家簡單solo下。

什麼叫「入侵」

伺服器被入侵不是一件小事，一旦被入侵了重要的服務，會產生不可預估的風險。

伺服器入侵可分為以下四種：

1.未經授權；

2.獲取敏感資料；

3.篡改資料；

4.控制資產。

如何判斷自己的伺服器是否被入侵了呢？

小編先來簡單介紹一下小編個人在用的雲主機的配置情況。

雲商：睿江雲

節點擊擇：浙江b（經典網路、ssd磁碟效能高）

雲主機配置：2核4g（2核2g也支援，但會存在記憶體不足情況）

網路選擇：經典網路（方便快捷、實惠）

頻寬：5m

系統版本：centos7.6

01 檢視伺服器當前登入使用者

最基礎的方法之一，檢視當前登入伺服器的使用者，如有異常使用者或ip位址正在登入，說明伺服器很可能被入侵（侵犯），命令的話，使用w，who，users等都可以：

02 檢視伺服器歷史登入痕跡

伺服器會記錄曾經登入過的使用者和ip，以及登入時間和使用時長，如果存在異常使用者或ip位址曾經登入過，就要注意了，伺服器很可能被入侵，當然，對方為了掩蓋登入，會清空/var/log/wtmp日誌檔案，要是你執行了last命令，只有你乙個人登入，而你又從來沒清空過記錄，說明被入侵了：

03 檢視異常消耗cpu程序

非異常情況下，伺服器被入侵後，對方通常會執行一些非常消耗cpu任務或程式，這時你就可以執行top命令，檢視程序使用cpu的情況，如果有異常程序非常消耗cpu，而你又從來沒有執行過這個任務，說明伺服器很可能被入侵了：

04 檢查伺服器系統程序

消耗cpu不嚴重或者未經授權的程序，通常不會在top命令中顯示出來，這時你就需要執行「ps auxf」命令檢查所有系統程序，如果有異常程序在後台悄悄執行，而你又從來沒有執行過，這時就要注意了，伺服器很可能被入侵了：

05 檢視埠、程序網路連線

通常攻擊者會安裝乙個後門程式（程序）專門用於監聽網路埠收取指令，這些程序在等待期間不會消耗cpu和頻寬，top命令難以發現，這時你就可以執行「netstat

-plunt」命令，檢視當前系統埠、程序的網路連線情況，如果有異常埠開放，就需要注意了，伺服器很可能被入侵：

檢查網路連線和對各個監聽埠的分析，也是必須要走的程式。比如：

輸入netstat -an，列出本機所有的連線和監聽的埠，檢視有沒有非法連線。

輸入netstat –rn，檢視本機的路由、閘道器設定是否正確。

輸入 ifconfig –a，檢視網絡卡設定。

通過查詢訪問的埠和異常ip位址進行異常分析也是常用的一種手段。

06 檢查系統的密碼相關檔案

檢視一下passwd檔案，尤其是檢視passwd當中是否有一些特權使用者，一般系統中uid為0的使用者特權許可權較高，可能會存在拿到控制權的可能性，但是能到這一步，我覺得這個入侵的黑客也太傻了，居然還給你留個你能看到的賬戶。另外還有檢視空口令賬號，一把這些賬號都是用來提公升許可權用的。

首先從明顯的入手，檢視一下passwd檔案，ls –l /etc/passwd檢視檔案修改的日期。

檢查一下passwd檔案中有哪些特權使用者，系統中uid為0的使用者都會被顯示出來。

07 檢查系統日誌

檢視在正常情況下登入到本機的所有使用者的歷史記錄，通過登入賬戶的時間和登入使用者名稱可以判斷是由於系統自身因鑑權或者其他操作登入，還是人為性質的登入，雖然登入日誌比較多，但是也會為入侵分析帶來一些輔助性的判斷依據。一般情況下linux系統下輸入在linux下輸入ls

–al

/var/log，既可以看到登入操作日誌，對了還要看下系統的syslog程序是否被停用了，因為如果但凡有點技術的黑客都會停止這個程序，來防止log記錄。

命令last |

more檢視在正常情況下登入到本機的所有使用者的歷史記錄。但last命令依賴於syslog程序，這已經成為入侵者攻擊的重要目標。入侵者通常會停止系統的syslog，檢視系統syslog程序的情況，判斷syslog上次啟動的時間是否正常，因為syslog是以root身份執行的，如果發現syslog被非法動過，那說明有重大的入侵事件。

在linux下輸入ls –al /var/log

在solaris下輸入 ls –al /var/adm

檢查wtmp utmp，包括messgae等檔案的完整性和修改時間是否正常，這也是手工擦除入侵痕跡的一種方法。

08 .rhosts和.forward

這是兩種比較著名的後門檔案，如果想檢查你的系統是否被入侵者安裝了後門，不妨全域性查詢這兩個檔案，分別進行這兩個檔案和正常內容的對比。一般要是於異常，說明你的系統已經被攻破。

這是兩種比較著名的後門檔案，如果想檢查你的系統是否被入侵者安裝了後門，不妨全域性查詢這兩個檔案：

find / -name 「.rhosts」

find / -name 「.forward」

09 檢查系統檔案完整性

伺服器檢查相關檔案的完整性有多種方法，通常我們通過輸入ls

-l 檔名來查詢和比較檔案，這種方法雖然簡單，但還是有一定的實用性。但是如果ls檔案都已經被替換了就比較難搞。在linux下可以用rpm

-v rpm –qf 檔名

來查詢，國家查詢的結果是否正常來判斷檔案是否完整。在linux下使用rpm來檢查檔案的完整性的方法也很多，這裡不做相關贅述，可以man

rpm來獲得更多的格式。

總結

目前，就分享這9個方面來判斷伺服器是否被入侵。伺服器如果已經被入侵，你就需要趕在對方發現你之前奪回伺服器的控制權，然後修改密碼、設定許可權、限定ip登入等。總之入侵分析是乙個經驗工作，只有不斷提公升攻防技術和分析各種攻防實際案例，你才能更好的做好伺服器入侵檢測以及伺服器安全防禦，因此這既是乙個枯燥的工作，還需要你長期不斷學習，很多時候技術經驗是非常有用的。

如何判斷伺服器是否被入侵了？

linux如何判斷伺服器是否被入侵

伺服器被入侵如何排查？如何防止伺服器被入侵？

如何判斷伺服器被DDOS了？

如何判斷伺服器是否被入侵了？

linux如何判斷伺服器是否被入侵

伺服器被入侵如何排查？如何防止伺服器被入侵？

如何判斷伺服器被DDOS了？

相關推薦