云服务器查看是否被攻击的方法:1。检查系统登陆日志。并统计IP重试登陆的次数。能看到哪些IP及哪些用户在恶意登陆系统;2。检查系统用户是否异常。如有没有异常新增用户及提权用户;3。检查系统是否有异常进程。确认异常非系统及非业务的进程在运行。查找恶意程序的来源。
具体内容如下:
1。检查系统日志
检查系统登陆日志。统计IP重试登陆的次数。对于恶意登陆的系统行为。在日志中会留下蛛丝马迹。通过检查系统登陆日志。统计重试登陆的次数。能看到哪些IP及哪些用户在恶意登陆系统。
# lastb root | awk '{print $3}' | sort | uniq -c | sort -nr| more
2。检查系统用户
对于入侵行为。往往通过检查系统用户。可以发现一些痕迹。比如有没有异常新增用户及提权用户。通过对系统用户的检查。是检测服务器攻击的重要方面。
查看是否有异常的系统用户
cat /etc/passwd
检查是否有新用户尤其是UID和GID为0的用户
awk -F":" '{if($3 == 0){print $1}}' /etc/passwd
检查是否存在空口令账户
awk -F: '{if(length($2)==0) {print $1}}' /etc/passwd
3。检查系统异常进程
对于被入侵的系统。可以通过查看进程。确认有哪些异常非系统及非业务的进程在运行。通过对这些异样进程的检查。查找恶意程序的来源。
使用ps -ef命令查看进程尤其注意UID为root的进程
查看该进程所打开的端口和文件
lsof -p pid
检查隐藏进程
ps -ef | awk '{print $2}'| sort -n | uniq >1; ls /proc |sort -n|uniq >2;diff -y -W 40 1 2
本文地址:https://gpu.xuandashi.com/51134.html,转载请说明来源于:渲大师
声明:本站部分内容来自网络,如无特殊说明或标注,均为本站原创发布。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。分享目的仅供大家学习与参考,不代表本站立场!
