如何检查服务器是否被入侵？( 二 ) _经验知识

4.检查哪些进程在消耗CPU
只需要运行 top ,系统会显示最消耗cpu的前面几个进程。
5.检查哪些进程在监听网络连接
执行 lsof -i 、netstat -plunt命令。需要留意那些处于 LISTEN 和 ESTABLISHED 状态的进程。这些进程要么正在等待连接（LISTEN）。要么已经连接（ESTABLISHED）。如果遇到不认识的进程。使用 strace 和 lsof 来看看它们在做什么东西。
6.检查系统登录日志
Linux用户登录信息放在三个文件中：
/var/run/utmp：记录当前正在登录系统的用户信息。默认由who和w记录当前登录用户的信息。uptime记录系统启动时间；
/var/log/wtmp：记录当前正在登录和历史登录系统的用户信息。默认由last命令查看；
/var/log/btmp：记录失败的登录尝试信息。默认由lastb命令查看。
#科技新星创作营#

文章插图
其他观点：
检查服务器是否被入侵。如果有资金投入。可以上专业的入侵检测设备IDS 。但题主既然拿到这里问。应该是不想投入资金来解决。事实上。不花钱也可以有两种办法来检查。

文章插图
1、用人工+纯技术（不推荐）
这种方法说白了还是靠技术工程师。技术工程师对安全理解有多深就能检查到多深。如果技术工程师。只是照搬照抄网络上几个命令去检查。基本没有什么用。因为现在的入侵已经不是10年前的入侵了。轻易留下痕迹的入侵是失败的入侵。
大量的服务器入侵都是隐藏在正常的访问当中。或者病毒、木马、甚至黑客攻击当中。它们隐藏的更深。它们入侵的目的很多都不是为了破坏机器。而是为了获取重要数据。所以。人工是很难发现它的。就算你是高手。等你发现时。入侵基本已经完成。数据已经被盗走。你说还有什么意义吗？所以。强烈不推荐这种方法。
2、免费开源IDS自动检测

文章插图
如今的入侵行为要想被第一时间发现。必须在服务器的入口。也就是网络上部署一套IDS自动化进行入侵检测。它会自动分析所有通过网络的数据包。自动进行协议分析。一旦。发现可疑的数据行为。立即报警。哪些人工无法快速完成的繁杂的分析。对它来说瞬间即可完成。这才对现在有效入侵的检测方式。
如今。不用花钱的开源IDS系统。互联网上非常多。比如：Snort、Prelude IDS、Firestorm等等。这里我就以“snort”来简单介绍一下如何来部署一套开源IDS 。
①、Snort入侵检测原理

文章插图
从技术上原理上讲。Snort是一个基于特征检测的网络入侵检测系统。检测原理如下：
首先。要定义不符合安全策略的事件的特征。这些定义特征值的合集就成为一个安全特征库。sonrt自带有广大安全开发者定义的规则库。专业人士。也可以自己定义规则库。
其次。网络收集所有进入网络的数据包。然后对数据包进行分析。并和安全特征库进行比对。如果出现相应的特征值。则该数据包被认为是可疑入侵。
随后。然后对可疑入侵行为进行集中报警。同时记录下日志。我们就可以第一时间发现入侵行为。接下来。我们就可以去阻断入侵。
Snort 入侵检测的功能非常强大。而且是一个轻量级的检测引擎。
②、Snort安装步骤
第一步：环境准备（以windows为例）
我们得准备一台服务器。安装上windows操作系统。
到互联网下载Snort的最新windows 安装包。
第二步：开始安装程序