云服务器如何查看是否被攻击 云服务器被攻击怎么办

主机教程 建站分享 2个月前 (08-11) 26次浏览

文章摘要:云服务器如何查看是否被攻击 云服务器被攻击怎么办

云服务器查看是否被攻击的方法:1、检查系统登陆日志,并统计IP重试登陆的次数,能看到哪些IP及哪些用户在恶意登 […]

云服务器查看是否被攻击的方法:1、检查系统登陆日志,并统计IP重试登陆的次数,能看到哪些IP及哪些用户在恶意登陆系统;2、检查系统用户是否异常,如有没有异常新增用户及提权用户;3、检查系统是否有异常进程,确认异常非系统及非业务的进程在运行,查找恶意程序的来源。

建站教程网归纳如下:

1、检查系统日志

检查系统登陆日志,统计IP重试登陆的次数。对于恶意登陆的系统行为,在日志中会留下蛛丝马迹,通过检查系统登陆日志,统计重试登陆的次数,能看到哪些IP及哪些用户在恶意登陆系统。

# lastb root | awk '{print $3}' | sort | uniq -c | sort -nr| more

2、检查系统用户

对于入侵行为,往往通过检查系统用户,可以发现一些痕迹,比如有没有异常新增用户及提权用户。通过对系统用户的检查,是检测服务器攻击的重要方面。

查看是否有异常的系统用户

cat /etc/passwd

检查是否有新用户尤其是UID和GID为0的用户

awk -F":" '{if($3 == 0){print $1}}' /etc/passwd

检查是否存在空口令账户

awk -F: '{if(length($2)==0) {print $1}}' /etc/passwd

3、检查系统异常进程

对于被入侵的系统,可以通过查看进程,确认有哪些异常非系统及非业务的进程在运行,通过对这些异样进程的检查,查找恶意程序的来源。

使用ps -ef命令查看进程尤其注意UID为root的进程

查看该进程所打开的端口和文件

lsof -p pid

检查隐藏进程

ps -ef | awk '{print $2}'| sort -n | uniq >1; ls /proc |sort -n|uniq >2;diff -y -W 40 1 2


声明:
1、本博客不从事任何主机及服务器租赁业务,不参与任何交易,也绝非中介。博客内容仅记录博主个人感兴趣的服务器测评结果及一些服务器相关的优惠活动,信息均摘自网络或来自服务商主动提供;所以对本博客提及的内容不作直接、间接、法定、约定的保证,博客内容也不具备任何参考价值及引导作用,访问者需自行甄别。
2、访问本博客请务必遵守有关互联网的相关法律、规定与规则;不能利用本博客所提及的内容从事任何违法、违规操作;否则造成的一切后果由访问者自行承担。
3、未成年人及不能独立承担法律责任的个人及群体请勿访问本博客。
4、一旦您访问本博客,即表示您已经知晓并接受了以上声明通告。
5、若非注明,本站文章源于互联网收集整理和网友分享发布,如有侵权,请联系站长处理。
文章名称:云服务器如何查看是否被攻击 云服务器被攻击怎么办
文章链接:https://www.7966.org/post/1836.html
本站资源仅供个人学习交流,资源请于下载后24小时内删除,不允许用于商业用途,否则法律问题自行承担。

喜欢 (0)