检查linux 是否有被攻击或恶意访问

最新推荐文章于 2024-06-01 07:44:02 发布
最新推荐文章于 2024-06-01 07:44:02 发布
阅读量540 收藏 1
点赞数
文章标签: 操作系统 awk 网络
原文链接:https://my.oschina.net/mellen/blog/636910
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

1)
more /var/log/secure |grep Accepted

more /var/log/secure |grep Failed password

grep :x:0: /etc/passwd

iptables -I INPUT -s 174.127.94.0/16 -j DROP
iptables -I INPUT -s 199.27.128.0/16 -j DROP
iptables -I INPUT -s 199.27.133.0/16 -j DROP
iptables -I INPUT -s 193.1.0.0/8 -j DROP 【慎用封禁整个段】

service iptables save


统计80端口连接数
netstat -nat|grep -i "80"|wc -l


2)统计httpd协议连接数
ps -ef|grep httpd|wc -l

统计已连接上的,状态为“established
netstat -na|grep ESTABLISHED|wc -l

查出哪个IP地址连接最多,将其封了.
netstat -na|grep ESTABLISHED|awk {print $5}|awk -F: {print $1}|sort|uniq -c|sort -r +0n


netstat -na|grep SYN|awk {print $5}|awk -F: {print $1}|sort|uniq -c|sort -r +0n


查看apache当前并发访问数:
netstat -an | grep ESTABLISHED | wc -l

查看有多少个进程数:
ps aux|grep httpd|wc -l


#ps -ef|grep httpd|wc -l
1388
统计httpd进程数,连个请求会启动一个进程,使用于Apache服务器。
表示Apache能够处理1388个并发请求,这个值Apache可根据负载情况自动调整。


#netstat -nat|grep -i "80"|wc -l
4341
netstat -an会打印系统当前网络链接状态,而grep -i "80"是用来提取与80端口有关的连接的,wc -l进行连接数统计。
最终返回的数字就是当前所有80端口的请求总数。



#netstat -na|grep ESTABLISHED|wc -l
376
netstat -an会打印系统当前网络链接状态,而grep ESTABLISHED 提取出已建立连接的信息。 然后wc -l统计。
最终返回的数字就是当前所有80端口的已建立连接的总数。


netstat -nat||grep ESTABLISHED|wc - 可查看所有建立连接的详细记录


查看Apache的并发请求数及其TCP连接状态:
  Linux命令:
netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'


返回结果示例:
  LAST_ACK 5
  SYN_RECV 30
  ESTABLISHED 1597
  FIN_WAIT1 51
  FIN_WAIT2 504
  TIME_WAIT 1057
  其中的
SYN_RECV表示正在等待处理的请求数;
ESTABLISHED表示正常数据传输状态;
TIME_WAIT表示处理完毕,等待超时结束的请求数。

转载于:https://my.oschina.net/mellen/blog/636910

weixin_33843409
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux ip访问限制
08-09
Linux 系统中,IP 访问限制是非常重要的一方面,为了确保系统的安全,我们需要限制某些 IP 的访问权限,避免恶意攻击和未经授权的访问。本教程将介绍两种方法来限制 IP 访问权限:使用 `/etc/hosts.allow` 和 `/etc/...
增强Linux内核中访问控制安全的方法
09-15
Linux环境中,有多种方法可以增强内核的安全性,防止未授权的访问攻击。本文将详细探讨几种常见的技术,包括动态库劫持、系统调用劫持以及Linux Security Modules (LSM)。 首先,动态库劫持是一种利用`LD_...
linux查看恶意用户,检查linux 是否有被攻击恶意访问
weixin_34409895的博客
05-02 1006
1)more /var/log/secure |grep Acceptedmore /var/log/secure |grep Failed passwordgrep :x:0: /etc/passwdiptables -I INPUT -s 174.127.94.0/16 -j DROPiptables -I INPUT -s 199.27.128.0/16 -j DROPiptables -I...
linux恶意进程检测,检测Linux服务器恶意感染病毒Linux.Xor.DDoS
weixin_30990821的博客
04-29 440
前言最近Linux病毒有点狂,然后今天打算检测下生产环境的机器,前段时间架设了一台oracle rac专用的dns和ntp服务的机器,这台机器给整个机房的oracle rac提供内网dns和时钟同步,如果被搞死了,整个机房oracle集群挂了,接下来开始检测这台机器。检测用的工具1. Clamav2. Chkrootkit3. RKHunter4. AIDE检测的机器Dns及ntp生产服务器系统环...
Linux服务器安全基础 - 查看入侵痕迹
最新发布
dzqxwzoe的博客
06-01 961
var/log/cron 记录了系统定时任务相关的日志/var/log/dmesg 记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息/var/log/secure:记录登录系统存取数据的文件;例如:pop3,ssh,telnet,ftp等都会记录在此./var/log/btmp:记录登录这的信息记录,被编码过,所以必须以last解析;例如:lastb | awk ‘{ print $3}’ | sort | uniq -c | sort -nr。
如何判断 Linux 服务器是否被入侵及排查病毒方法
yuer629
10-24 2616
啊,天啊,对于一个做前端开发的人来说,对服务器端的知识只略懂一二啊,黑客就知道欺负小白,入侵我的服务器。一开始我是束手无策的,根本无从所知病毒在哪,黑客怎么入侵我的服务器。接下来,让我们一步步来排查吧,先看看如何判断 Linux 服务器是否被入侵?
Linux入侵检测方法
00勇士王子的博客
03-05 1196
1进程2端口3日志4流量5计划。
如何判断Linux服务器是否被入侵?_centos查找攻击来源(1)
2401_83947105的博客
04-29 1082
a.查看/var/log/secure文件,发现已经没有该文件b.使用lsof命令查看当前是否有进程打开/var/log/securec.从上面的信息可以看到 PID 1264(rsyslogd)打开文件的文件描述符为4。同时还可以看到/var/log/ secure已经标记为被删除了。因此我们可以在/proc/1264/fd/4(fd下的每个以数字命名的文件表示进程对应的文件描述符)中查看相应的信息,如下:d.从上面的信息可以看出,查看/proc/1264/fd/4就可以得到所要恢复的数据。
Linux系统缓冲区溢出攻击的机理分析.pdf
09-07
本地攻击是指攻击者可以访问目标系统的权限,直接在目标系统上执行恶意代码,从而实现攻击目的。远程攻击是指攻击者通过网络远程控制目标系统,执行恶意代码,实现攻击目的。 为了防止缓冲区溢出攻击,需要采取...
Linux系统中ARP欺骗攻击的防范.pdf
09-06
二是ARP病毒,病毒会伪装成网关,向网络发送伪造的ARP广播,将恶意代码注入用户访问的网页,使杀毒软件发出警报,如果杀毒软件更新不及时,可能导致用户电脑被病毒感染。 针对这些威胁,防范ARP欺骗的关键在于ARP包...
Linux访问控制安全测评.pdf
09-06
Linux 的安全测评旨在确保操作系统符合安全标准,防止未授权的访问恶意攻击。文章《Linux 访问控制安全测评》主要讨论了Linux 操作系统访问控制方面的安全测试标准、测评方法以及测试案例设计。 1. 安全测评...
如何判断Linux服务器是否被入侵了,该怎么对服务器进行安全加固
dexunyun的博客
12-27 950
inetd是UNIX系统的守护进程,正常的inetd的pid都比较靠前,如果我们看到输出了一个类似inetd –s /tmp/.xxx之类的进程,着重看inetd –s后面的内容。以上是对入侵的一些安全措施,其实在我们确定了服务器有被入侵的情况后,最好的方法就是备份好数据重装系统,不要抱着修复这台服务器,接着就放心使用了,我们无法知道入侵者做过什么,因此是无法保证这台服务器完全安全。但需要注意的是,安全加固是一个持续的过程,需要定期检查和更新安全策略和配置,以应对不断变化的安全威胁。
如何检查 Linux 服务器是否遭受 DDoS 攻击?
wuli1024的博客
02-01 1267
DDoS 是一种恶意行为,攻击发起方通过向网络发出大量请求来耗尽目标服务器所有可用资源的攻击,与标准的 DoS(拒绝服务)攻击不同:DDoS:采用多个分布式的设备:通常情况下,设备已被黑客提前入侵并安装相关木马,设备所有者不知情;攻击针对多种网络设备和协议,而不仅仅是网络端点;以下是三种主要的 DDoS 攻击类型:应用层 DDoS(OSI模型 第 7 层):重点攻击 Web 服务,如 Apache 和 Nginx 等;协议攻击(OSI模型 第 3/4 层):针对重要网络设备上的操作系统和防火墙。
如何查看Apache的连接数和当前连接数
hnyysly的专栏
05-10 600
查看了连接数和当前的连接数  复制代码代码如下: netstat -ant | grep $ip:80 | wc -l  netstat -ant | grep $ip:80 | grep EST | wc -l  查看IP访问次数  复制代码代码如下: netstat -nat|grep ":80"|awk '{print $5}' |awk -F:
如何判断Linux主机是否攻击
十里平湖的博客
11-27 8276
网口流量异常攻击类型一般有: 大量发送 tcp syn, 发送 tcp rst包,发送udp包,发送icmp包。可以用以下命令进行判断主机是否攻击:ps auxf 查看进程列表,有无异常进程 top 看活跃进程列表 占用CPU和内存较大的异常进程 iftop 看活跃的网络通讯以及流量 netstat -atlpv 看正在网络通讯的进程和socket连接状态
Linux系统采用netstat命令查看DDOS攻击的方法
dianlei9877的博客
07-11 276
Linux系统采用netstat命令查看DDOS攻击的方法 来源:互联网 作者:佚名 时间:07-05 15:10:21 【大 中 小】 这篇文章主要为大家介绍了Linux系统采用netstat命令查看DDOS攻击的方法,对于网络安全而言非常重要!需要的朋友可以参考下 Linux系统用netstat命令查看DDOS攻击具体命令用法如下: 复...
如何检查CentOS服务器受到DDOS攻击
weixin_34258078的博客
03-09 1130
登录到你的服务器以root用户执行下面的命令,使用它你可以检查你的服务器是在DDOS攻击与否: netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort –n 该命令将显示已登录的是连接到服务器的最大数量的IP的列表。 DDOS变得更为复杂,因为攻击者在使用更少的连接,...
判断Linux服务器是否攻击以及相应的预防措施
xu710263124的博客
05-10 1176
一、前言 随着现代互联网科技的快速发展,网络服务器的安全也逐渐成为各大企业开始关注的焦点。服务器后台的安全保证关系着整个网络数据的命脉,所以服务器的安全防范也逐渐称为各大企业关注的重点。 其中较为常见的攻击为ddos攻击,所谓ddos攻击,指的是分布式拒绝服务攻击,分布式拒绝服务攻击可以使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常使用。一种是一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时向一个或数个目标发动攻击,或者多个攻击者同时向一个或数个目标发动攻击。由于攻击的发出点是分布
linux基线check.pdf
05-08
"该文档是关于Linux系统的运维基线检查,涵盖了安全性、用户管理、FTP配置、日志记录、IP安全以及服务优化等多个方面。" 在Linux运维中,确保系统的安全性和稳定性至关重要。这份基线检查列表列出了多个关键点,以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值