判断Linux主机是否被入侵,linux服务器是否被入侵常用的几个命令

最新推荐文章于 2023-08-23 23:15:28 发布
最新推荐文章于 2023-08-23 23:15:28 发布
阅读量356 收藏 2
点赞数
文章标签: 判断Linux主机是否被入侵

1.检测当前登录的用户

w

da509239d953338a8ffb5c77d7296b1c.png

whois 命令可以接一个 IP 地址然后告诉你该 IP 所注册的组织的所有信息,当然就包括所在国家的信息。

2.查看谁曾经登录

last

4f97f722a827448ffc2027fec92e09ed.png

3.回顾曾经使用的命令历史

history

4.检测消耗cpu的进程

top  #查看任务进程

复制进程的PID

strace -p PID #PID 为复制出来的进程ID号

显示出该进程调用的所有系统调用。

lsof -p PID

列出该进程打开的文件

5.检测所有的系统进程

ps auxf

6.检测进程网络的使用情况

iftop

排列显示收发网络数据的进程以及它们的源地址和目的地址.

7.查看哪些进程在监听网络连接

lsof -i

netstat -plunt

需要留意那些处于 LISTEN 和 ESTABLISHED 状态的进程,这些进程要么正在等待连接(LISTEN),要么已经连接(ESTABLISHED)。如果遇到不认识的进程,使用 strace 和 lsof 来看看它们在做什么东西。

写在后面

ps:

如果您发现服务器已经被侵入怎么办?

first. 查看当前攻击者是否正处于登录状态, 千万别觉得自己很牛逼,可以和电视剧里演的那样,可以在线争夺会服务器的控制权(年轻人)。

需要做的操作就是赶紧关机。。。

shutdown -h now

systemctl poweroff

赶紧联系机房,跟机房和服务器供应商共同联系、沟通解决。

second. 你如果觉得自己非常牛逼,吊炸天!或者你的供应商有提供上游防火墙服务。

那么你可以配置下防火墙规则

a.配置服务器只允许指定的IP地址可以SSH。

b.封禁除此之外的任何东西,含ssh,还包括任何端口上的任何协议;

如果上游没有防火墙服务, 就需要在服务器本身创建这些防火墙规则策略,规则生效后,及时kill掉攻击者的SSH会话。

上面的操作只是做了服务器防护的及时制止,

千万不要拿被攻破的服务器继续使用!

千万不要拿被攻破的服务器继续使用!

千万不要拿被攻破的服务器继续使用!

重要的事情说三遍,你永远不知道(不能完全知道)攻击者在你的服务器上做了什么?留下了什么后门?

建议将重要的数据备份后,将服务器重做,重新部署。

打赏

ff7332c9d8833ec3435fe3dc38de7de3.png

d954b0e6ab9d313a5e1b698d19023135.png微信扫一扫,打赏作者吧~

如果本篇文章对您有帮助,欢迎向博主进行赞助,赞助时请写上您的用户名。

支付宝直接捐助帐号oracle_lee@qq.com 感谢支持!

喜欢 (0)or分享 (0)

weixin_39793576
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CentOS系统通过日志反查是否入侵
09-30
最近有个朋友的服务器发现有入侵的痕迹后来处理解决但是由于对方把日志都清理了无疑给排查工作增加了许多难度。其实日志的作用是非常大的。学会使用通过日志来排查解决我们工作中遇到的一些问题是很有必要的。下面就一一道来。
排查Linux机器是否已经被入侵
weixin_38169786的博客
09-20 744
随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考 背景信息:以下情况是在CentOS 6.9的系统中查看的,其它Linux发行版类似 1.入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: [root@hl...
如何判断 Linux 服务器是否入侵
weixin_33806509的博客
11-12 176
如何判断 Linux 服务器是否入侵? 本指南中所谓的服务器入侵或者说被黑了的意思,是指未经授权的人或程序为了自己的目的登录服务器上去并使用其计算资源,通常会产生不好的影响。 免责声明:若你的服务器被类似 NSA 这样的国家机关或者某个犯罪集团入侵,那么你并不会注意到有任何问题,这些技术也无法发觉他们的存在。 然而,大多数被攻破的服务器都是被类似自...
linux如何判断服务器是否入侵
美国梦中国心
12-11 2688
centos,服务器linux
Linux入侵检测方法
00勇士王子的博客
03-05 1193
1进程2端口3日志4流量5计划。
教你如何搭建一个安全的Linux服务器教程
09-15
搭建一个安全的Linux服务器是确保网站稳定运行的关键步骤。Linux因其高效、稳定和开源特性,成为许多PHP程序和大型网站的首选服务器操作系统。本教程将详细介绍如何配置和优化Linux服务器,确保其安全性。 首先,...
实战搭建Linux远程日志服务器.pdf
09-06
"实战搭建Linux远程日志服务器" 本文将详细介绍如何搭建Linux远程日志服务器,保护...实战搭建Linux远程日志服务器可以将日志信息写入到本地主机之外的远端服务器,这对防止非法入侵、保护系统安全起到重要的作用。
基于Linux主机身份验证系统的研究与实现.pdf
09-06
Linux的启动过程通常包括以下几个步骤: 1. 硬件初始化:系统加电后,硬件设备进行自我检查(BIOS)。 2. 引导加载器:如GRUB从硬盘加载Linux内核。 3. 保护模式切换:内核加载后,系统进入保护模式,执行Startup-32和...
linux-一个linux信息搜集小脚本主要用于应急响应
08-13
这个名为"Linux信息搜集小脚本"的工具,正是为这样的目的而设计的。这个脚本可以在Debian和CentOS这两种广泛使用的Linux发行版上运行,显示系统的关键信息,便于分析和问题排查。 首先,让我们了解一下脚本可能包含...
基于Kali Linux的DNS欺骗及防范技术的研究.pdf
09-06
DNS是把主机域名解析IP地址的系统,解决了IP地址难记的问题,用相对好记的域名就可以对服务器进行访问,即使服务器更换了IP地址,我们依旧可以通过域名访问该服务器,这样能够使我们更方便的访问互联网。DNS主要基于...
如何判断Linux系统是否被黑客入侵?可以用这种方法
w3cschools的博客
04-27 485
恶意软件有时会使用Linux内核进程伪装来隐藏其运行时,让我们研究一下如何使用这种策略来揭露Linux恶意软件。 Linux内核进程伪装了什么? 在Linux上,内核创建了许多线程来帮助完成系统任务,这些线程可以用于调度,磁盘I / O等。 当您使用标准进程列表命令(例如ps)时,这些线程将显示为带有 [brackets] ,以表示它们是某种线程。 在ps 列表中, 普通进程通常不会显示...
linux命令入侵检测
qq_43470425的博客
08-09 431
pwd -P 英文全拼:print work directory 显示当前工作目录的名称 选项:-P显示链接的真实路径。 cd - 返回 ls -l -a 显示所有的信息,包括隐藏文件与目录。 -d 显示目录本身的信息,而非目录下的资料信息。 -h 人性化显示容量信息。 -l 长格式显示详细信息。 -c 显示文件或目录属性最后修改的时间。 -u 显示文件或目录最后被访问的时间。 -t 以修改时间排序,默认按文件名称排序。 drwxrwxrwx 2 kali kali 4096 Jan 28 2021 3x
linux 怎么查看谁登过这台服务器,如何查看linux服务器是否入侵
weixin_42463997的博客
04-28 3645
对于linux服务器来说,安全性是非常重要的问题。而服务器入侵最常见的表现有:由内向外发送大量数据包(被DDOS肉鸡)、服务器资源被耗尽(被挖矿)、不正常的端口连接(反向shell)、服务器日志被恶意删除等。这里就跟大家讲解一下如何查看linux服务器是否入侵。如何查看linux服务器是否入侵1、账号安全基本使用:1 )用 户 信 息 文 件 /etc/passwd root:x:0:0:r...
11个步骤完美排查Linux机器是否已经被入侵
Linux云计算数据自学
11-22 411
随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考:背...
简单linux蠕虫,清除Linux系统上的蠕虫程序Ramen
weixin_39602005的博客
05-16 306
Linux系统中出现了一种称之为Ramen的蠕虫程序。它可能会入侵数千台运行RedHat6.2/7.0操作系统的服务器。Ramen利用了两个已知的Linux安全漏洞。它首先利用RPC.statd 和 wu-FTP 的漏洞扫描网络上使用 RedHat 6.2/7.0的服务器,然后尝试取得系统权限,一旦取得之后,会将一些一般的系统服务加以替换,并且将一个称之为“rootkit”的程序码植入安全漏洞中,...
linux 进程 nobody,服务器怀疑被攻破,请Linux高手来帮我看一下进程列表。有个zbind进程和很多sambal进程。...
weixin_29279153的博客
05-08 244
USERPID%CPU%MEMVSZRSSTTYSTATSTARTTIMECOMMANDroot10.00.0136880?SJun230:06initroot20.00.000?SWJun230:00...
linux性能诊断,linux下跟性能相关的命令以及系统性能诊断
weixin_29821699的博客
05-13 129
linux下和性能相关的命令以及系统性能诊断4.网络性能识别与分析可以通过命令netstat,iptraf命令来识别可以通过ifconfig,netstat连接网络基本情况ifconfig # 查看所有网络接口的属性netstat -lntp # 查看所有监听端口netstat -antp # 查看所有已经建立的连接netstat -...
要查看服务器上的所有用户账号,可以使用以下命令
最新发布
yangxue_mifen的博客
08-23 585
要查看服务器上的所有用户账号,可以使用以下命令
查询服务器上的用户
kogila的博客
04-09 1289
cat /etc/passwd|grep -v nologin|grep -v halt|grep -v shutdown|awk -F":" '{ print $1"|"$3"|"$4 }'|more
SSH登陆LINUX服务器命令.doc
11-30
SSH登陆LINUX服务器命令.doc

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值