-
1 # 創富圈子
-
2 # 程式界小學生
安全/登入日誌檢視,如果發現有個ip不斷嘗試且授權沒有透過,證明他們在猜測密碼或嘗試提權操作,防火牆先過濾目標ip有工具可以檢測作業系統核心檔案是否篡改檢查系統賬號和對應的賬號許可權是否有問題,如果多出賬號或者,普通賬號擁有了更高階的許可權都要引起重視系統程序檢查,平時瞭解一下程序對應的程式或功能,如果發現異常程序應該kill掉埠檢查,防火牆對外的埠一般都和應用對應,發現異常埠同樣要搞清楚或者刪除其它已知病毒/後門檢查,就是當懷疑或能證明一些問題的存在時,應該多去了解別人有沒有這種情況,第一時間採取措施,比如我Redis 被黑了,我需要檢查crontab 如果證實問題存在,那麼我會刪除該任務和登入授權檔案,改Redis 埠和密碼等企業防毒軟體 安全企業針對伺服器的軟體,不過Linux 上基本都不用
大致我能想到的就這些,希望對你有幫助
-
3 # 使用者51266982987
...沒有專業掃描軟體的話,ntop看看資源利用,看看有沒有長時間連線。黑伺服器無非是需要計算資源和網路資源,當然也可能是是為了資料。。看兩個看資源就好
-
4 # 聚全科技
可以看看伺服器有沒有可疑程序,檢視伺服器日記,檢視原始碼情況等方式判斷,如果是雲伺服器,如阿里雲或者騰訊雲有時候都會有提示
-
5 # 小小猿愛嘻嘻
檢查自己的伺服器有沒有被入侵,目前來說,最簡單直接的方式的就是檢視使用者登入記錄和異常埠/程序,透過判斷和甄別來確定自己的伺服器有沒有被入侵,下面我簡單介紹一下,感興趣的朋友可以嘗試一下:
01檢視使用者登入記錄當前登入使用者
這種方式是最直接的也是最簡單的,正常情況下,伺服器會透過固定的IP和授權使用者登入,如果有異常(未授權)的使用者正在登入,就要十分注意了,則說明當前伺服器已經被入侵:
歷史登入記錄
一般情況下伺服器都會自動記錄歷史登入過的使用者和IP,這個直接使用last命令就可查詢,如果曾經有異常使用者和IP登入過,就要十分注意了,伺服器很可能已經被入侵,正常情況下,對方為了掩蓋歷史登入記錄,都會手動清空/var/log/wtmp日誌檔案(last命令實際透過讀取這個檔案獲取登入記錄),如果你從來沒有清空過歷史登入記錄,而當前伺服器又只有你一人在登入,說明伺服器被入侵了:
02檢視異常埠和程序異常消耗CPU程序
一般情況下,當伺服器被入侵後,對方都會執行一些特別消耗CPU的程序或任務,以儘可能的佔用系統資源(伺服器反應會變慢),這時你可以透過top命令進行檢視,如果有異常程序特別消耗CPU,而你又從來沒有執行過這個任務或者根本不認識,說明伺服器已經被入侵了:
異常埠連線
一般情況下,為了方便控制伺服器,對方可能會留下一個後門程式(也就是一個後臺程序,透過固定埠接收指令),正常情況下,這個後臺程序不會特別消耗頻寬和CPU,但會一直處於監聽狀態,很難透過top等命令發現,這時你可以透過netstat命令檢視當前伺服器開啟的所有埠,如果有異常埠開啟,一直處於監聽狀態,就要注意了,說明伺服器很可能已經被入侵:
異常系統程序
目前,就分享這麼多吧,對於日常判斷自己伺服器是否被入侵來說,完全夠用了,最主要的還是檢視使用者登入記錄和異常埠/程序,只要你熟悉一下相關命令和操作過程,很快就能掌握的,網上也有相關教程和資料,介紹的非常詳細,感興趣的話,可以搜一下,希望以上分享的內容能對你有所幫助吧,也歡迎大家評論、留言進行補充。
回覆列表
判斷自己伺服器是否被入侵的關鍵是看一下自己伺服器日誌,。
1.一般伺服器入侵了,肯定在伺服器日誌裡留下蛛絲馬跡。
2.看一下伺服器檔案是否被更改。
3.觀察一下伺服器使用者是否增加。