锐客网

  1. 首页 > 睿知 > >

如何检查服务器是否被入侵?

生活知识经验知识


这里简单介绍一下吧 。主要从5个方面来判断服务器是否被入侵 。感兴趣的朋友可以尝试一下:
01查看当前登录用户
这种方式最简单也最基本 。查看当前登录服务器的用户 。如果有异常用户或IP地址正在登录 。则说明服务器很可能被入侵 。命令的话 。使用w 。who 。users等都可以:

如何检查服务器是否被入侵?

文章插图
02查看历史登录记录
服务器会记录曾经登录过的用户和IP 。以及登录时间和使用时长 。如果有异常用户或IP地址曾经登录过 。就要注意了 。服务器很可能被入侵 。当然 。对方为了掩盖登录 。会清空/var/log/wtmp日志文件 。要是你运行了last命令 。只有你一个人登录 。而你又从来没清空过记录 。说明被入侵了:
如何检查服务器是否被入侵?

文章插图
03查看特别消耗CPU进程
一般情况下 。服务器被入侵后 。对方通常会执行一些非常消耗CPU任务或程序 。这时你就可以运行top命令 。查看进程使用CPU的情况 。如果有异常进程非常消耗CPU 。而你又从来没有执行过这个任务 。说明服务器很可能被入侵了:
如何检查服务器是否被入侵?

文章插图
04检查所有系统进程
消耗CPU不严重或者未经授权的进程 。一般不会在top命令中显示出来 。这时你就需要运行“ps auxf”命令检查所有系统进程 。如果有异常进程在后台悄悄运行 。而你又从来没有执行过 。这时就要注意了 。服务器很可能被入侵了:
如何检查服务器是否被入侵?

文章插图
05查看端口进程网络连接
通常攻击者会安装一个后门程序(进程)专门用于监听网络端口收取指令 。该进程在等待期间不会消耗CPU和带宽 。top命令也难以发现 。这时你就可以运行“netstat -plunt”命令 。查看当前系统端口、进程的网络连接情况 。如果有异常端口开放 。就需要注意了 。服务器很可能被入侵:
如何检查服务器是否被入侵?

文章插图
目前 。就分享这5个方面来判断服务器是否被入侵 。当然 。服务器如果已经被入侵 。你就需要赶在对方发现你之前夺回服务器的控制权 。然后修改密码、设定权限、限定IP登录等 。网上也有相关教程和资料 。介绍的非常详细 。感兴趣的话 。可以搜一下 。希望以上分享的内容能对你有所帮助吧 。也欢迎大家评论、留言进行补充 。
其他观点:
首先判断服务器是什么操作系统 。不同操作系统检查方法不一样 。
一、windows server 服务器入侵检查
1.检测不正常账号
查找被新增的账号 。特别是管理员群组的(Administrators group)里的新增账户:
C:\lusrmgr.msc
C:\>net localgroup administrators
C:\>net localgroup administrateurs
2.检查注册表启动项
在Windoows 注册表里查看开机启动项是否正常 。特别一下注册表项:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx
3.检查不正常的服务
检查所有运行的服务 。是否存在伪装系统服务和未知服务 。查看可执行文件的路径 。
4.检查账户启动文件夹
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup
5.查看正在连接的会话
C:\net use
6.检查系统不正常网络连接
C:\netstat –nao 5
7.检查自动化任务
C:\schtasks
8.检查windows日志中的异常
检查防火墙、杀毒软件的事件 。或任何可疑的记录 。检查大量的登入尝试错误或是被封锁的账户 。www服务器导入Web访问日志 。并查看分析Web访问日志是否完整有攻击痕迹 。检查www目录是否存在webshell网页木马 。重点检查类似upload目录 。
二、linux服务器入侵检查
1.检查谁在登录
运行 w 会输出如下结果:
12:32:00 up 12 days,5:43,2 users,load average: 0.05, 0.03, 0.00
USERTTYFROMLOGIN@IDLEJCPUPCPU WHAT
rootpts/0110.174.161.1112:260.00s0.03s0.02s ssh root@test
rootpts/1178.31.109.1212:260.00s0.01s0.00s w
2.检查历史登录用户
使用 last 命令可以查看这些信息 。
输出类似这样:
rootpts/1178.31.109.12Thu Nov 30 12:26still logged in
rootpts/0110.174.161.11Thu Nov 30 12:26still logged in
检查历史运行命令
运行 history 命令会显示他们曾经执行的命令 。留意有没有用 wget 或 curl 命令来下载类似垃圾邮件机器人或者挖矿程序之类的非常规软件 。

推荐阅读


上一篇:王者荣耀“五虎上将”系列皮肤曝光,满满“中二”风格,你觉得呢?

下一篇:加拿大移民局即将恢复快速通道邀请