如何看Linux服务器是否被攻击?
发布网友
发布时间:2022-04-23 02:27
我来回答
共1个回答
热心网友
时间:2022-04-07 10:45
以下几种方法检测linux服务器是否被攻击:
1、检查系统密码文件
首先从明显的入手,查看一下passwd文件,ls –l /etc/passwd查看文件修改的日期。
2、查看一下进程,看看有没有奇怪的进程
重点查看进程:ps –aef | grep inetd inetd是UNIX系统的守护进程,正常的inetd的pid都比较靠前,如果看到输出了一个类似inetd –s
/tmp/.xxx之类的进程,着重看inetd
–s后面的内容。在正常情况下,LINUX系统中的inetd服务后面是没有-s参数的,当然也没有用inetd去启动某个文件;而solaris系统中
也仅仅是inetd
–s,同样没有用inetd去启动某个特定的文件;如果使用ps命令看到inetd启动了某个文件,而自己又没有用inetd启动这个文件,那就说明已经有人入侵了系统,并且以root权限起了一个简单的后门。
3、检查系统守护进程
检查/etc/inetd.conf文件,输入:cat /etc/inetd.conf | grep –v “^#”,输出的信息就是这台机器所开启的远程服务。
一般入侵者可以通过直接替换in.xxx程序来创建一个后门,比如用/bin/sh 替换掉in.telnetd,然后重新启动inetd服务,那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。
4、检查网络连接和监听端口
输入netstat -an,列出本机所有的连接和监听的端口,查看有没有非法连接。
输入netstat –rn,查看本机的路由、网关设置是否正确。
输入 ifconfig –a,查看网卡设置。
5、检查系统日志
命令last |
more查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程,这已经成为入侵者攻击的重要目标。入侵者通常会停止系
统的syslog,查看系统syslog进程的情况,判断syslog上次启动的时间是否正常,因为syslog是以root身份执行的,如果发现
syslog被非法动过,那说明有重大的入侵事件。
在linux下输入ls –al /var/log
检查wtmp utmp,包括messgae等文件的完整性和修改时间是否正常,这也是手工擦除入侵痕迹的一种方法。
6、检查系统中的core文件
通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法,典型的RPC攻击就是通过这种方式。这种方式有一定的成功率,也就是说并不能
100%保证成功入侵系统,而且通常会在服务器相应目录下产生core文件,全局查找系统中的core文件,输入find / -name core
–exec ls –l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为。
7、检查系统文件完整性
检查文件的完整性有多种方法,通常通过输入ls –l
文件名来查询和比较文件,这种方法虽然简单,但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在LINUX下可以用rpm –V
`rpm –qf 文件名`
来查询,查询的结果是否正常来判断文件是否完整。在LINUX下使用rpm来检查文件的完整性的方法也很多,这里不一一赘述,可以man
rpm来获得更多的格式。
如何看Linux服务器是否被攻击?
以下几种方法检测linux服务器是否被攻击:\x0d\x0a1、检查系统密码文件 \x0d\x0a首先从明显的入手,查看一下passwd文件,ls _l /etc/passwd查看文件修改的日期。 \x0d\x0a2、查看一下进程,看看有没有奇怪的进程 \x0d\x0a\x0d\x0a重点查看进程:ps _aef | grep inetd inetd是UNIX系...
服务器ip网络服务器ip - StormProxies
StormProxies是全球大数据IP资源服务商,其住宅代理网络由真实的家庭住宅IP组成,可为企业或个人提供满足各种场景的代理产品。点击免费测试(注册即送1G流量)StormProxies有哪些优势?1、IP+端口提取形式,不限带宽,IP纯净高匿;2、覆盖全球20...
Linux服务器是否被攻击怎么判断
查看less/var/log/secure文件,查看ssh日志,看是否有非法用户大量尝试ssh;who命令,查看目前ssh到linux服务器的用户,是否是合法的;查看在linux服务器上部署的应用是否有漏洞,有的话很容易受到攻击。CC攻击的ip都是真实的,分散的;CC攻击的数据包都是正常的数据包;CC攻击的请求都是有效请求,且无法...
如何查看linux系统是否被攻击
top命令,查看有没有异常进程占用大量的CPU或者是内存资源; 查看less /var/log/secure文件,查看ssh日志,看是否有非法用户大量尝试ssh; who命令,查看目前ssh到linux服务器的用户,是否是合法的; 查看在linux服务器上部署的应用是否有漏洞,有的话很容易受到攻击。
如何在Linux上用命令查询是否被DDOS攻击
Linux系统用netstat命令查看DDOS攻击具体命令用法如下:代码如下:netstat -na 显示所有连接到服务器的活跃的网络连接 代码如下:netstat -an | grep :80 | sort 只显示连接到80段口的活跃的网络连接,80是http端口,这对于web服务器非常有用,并且对结果排序.对于你从许多的连接中找出单个发动洪水攻击IP非常...
如何检查linux服务器是否被攻击
c.借WEB或FTP管理,查看所有目录体积,最后修改时间以及文件数,检查是文件是否有异常,以及查看是否有异常的账号。网站被挂马一般都是网站程序存在漏洞或者服务器安全性能不达标被不法黑客入侵攻击而挂马的。网站被挂马是普遍存在现象然而也是每一个网站运营者的心腹之患。您是否因为网站和服务器天天被入侵...
如何检测到Linux服务器遭受CC攻击的
比如你在linux上面运行了一个网站,那么CC攻击的特征是:1、CC攻击的ip都是真实的,分散的;2、CC攻击的数据包都是正常的数据包;3、CC攻击的请求都是有效请求,且无法拒绝;4、CC攻击的是网页,服务器可以连接,ping也没问题,但是网页就是访问不了。5、但是IIS一开,服务器很快就死,容易丢包。判...
Linux服务器安全事件应急响应排查方法总结
以下是我根据这次事件,结合工作经验,总结的Linux服务器安全应急响应排查方法。1. 分析原则 - 在分析前先备份重要数据,避免在原始系统上进行分析;- 已受感染的系统不再安全,如有条件,应使用第三方系统进行分析。2. 分析目标 - 确定攻击源IP地址;- 查找出入侵途径;- 分析受影响的范围;- 量化...
linux服务查看攻击者的IP的命令是什么
1、iptraf -f,然后 选 IP traffic monitor 指定你的网卡 会看到很多对应关系,这样就可以找到发包最大的IP对应关系出来 2、netstat -tuanp |grep 大流量ip ,会得到对应进程 3、iptables限制其出网 4、kill并删除对应进程,然后查看/etc/rc.d 有没有被注东西,包括chkconfig等,所有系统自起的全...
linux服务器被ddos攻击记录日志分析日志ddos攻击
1.授权DNS服务器限制名字服务器递归查询功能,递归dns服务器要限制递归访问的客户(启用白名单IP段)2.限制区传送zonetransfer,主从同步的DNS服务器范围启用白名单,不在列表内的DNS服务器不允许同步zone文件 allow-transfer{};allow-update{};3.启用黑白名单 已知的攻击IP加入bind的黑名单,或防火墙上...
一次Linux系统被服务器被rootkit攻击的处理思路和处理过程
一次Linux被入侵后的分析 下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路和处理过程,rootkit攻击是Linux系统下最常见的攻击手段和攻击方式。 1、受攻击现象 这是一台客户的门户网站服务器,托管在电信机房,客户接到电信的通知:由于此服务器持续对外发送数据包,导致100M带宽耗尽,于是电信就切断了此服务器...