服务器被入侵如何排查

最新推荐文章于 2023-03-31 18:09:52 发布
最新推荐文章于 2023-03-31 18:09:52 发布
阅读量469 收藏 1
点赞数 3
分类专栏: Linux 文章标签: 服务器 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51743274/article/details/126705126
版权

如何判断服务器是否被入侵?

1.当服务器刚启动一会时,系统cpu占用就达到一百,这时很有可能当前服务器就被ddos或者被入侵后cpu被用于挖矿。
2.服务器正在运行,首先先要考虑本机部署的应用服务是否会造成服务的压力在瞬时变大,先检查自身服务的问题,确保自身服务没有问题后,可查看用户登录等文件查看是否有异常ssh远程登录。

服务器被入侵,最好怎么处理?

  • 服务器如果有开放ssh远程登录,可以设置限制登录,配置安全组等,只放行自己的IP
  • 查找详细的入侵痕迹last命令或者是通过管道过滤 /var/log/secure下与’Accepted相关的日志信息来判断
  • 查看服务器是否可以关闭外网,可以就先关闭外网。
  • 查看相关的进程等命令是否被篡改,如果有的话,解决方案是,从一台相同版本的机器中拷贝相应的命令文件到被入侵的服务器中。然后执行查看异常进程。
  • 如果上诉没有找到,可以通过netstat查看异常的连接从而查询异常进程。
  • 查看定时任务,很多服务器入侵,都是通过定时任务,打满你服务器的cpu资源,导致服务无法提供。如crontab和开机启动等。

另外介绍一下两个linux命令chattrlsattr

chattr

chattr介绍

	Linux chattr命令用于改变文件属性。
	
	这项指令可改变存放在ext2文件系统上的文件或目录属性,这些属性共有以下8种模式:
	a:让文件或目录仅供附加用途。
	b:不更新文件或目录的最后存取时间。
	c:将文件或目录压缩后存放。
	d:将文件或目录排除在倾倒操作之外。
	i:不得任意更动文件或目录。
	s:保密性删除文件或目录。
	S:即时更新文件或目录。
	u:预防意外删除。

语法

	chattr [-RV][-v<版本编号>][+/-/=<属性>][文件或目录...]

参数

  -R 递归处理,将指定目录下的所有文件及子目录一并处理。

  -v<版本编号> 设置文件或目录版本。

  -V 显示指令执行过程。

  +<属性> 开启文件或目录的该项属性。

  -<属性> 关闭文件或目录的该项属性。

  =<属性> 指定文件或目录的该项属性。

作用

直接对linux系统的磁盘进行操作,操作不可逆

lsattr

lsattr介绍

	Linux lsattr命令用于显示文件属性。

语法

	lsattr [-adlRvV][文件或目录...]

参数

	-a  显示所有文件和目录,包括以"."为名称开头字符的额外内建,现行目录"."与上层目录".."。
	-d  显示,目录名称,而非其内容。
	-l  此参数目前没有任何作用。
	-R  递归处理,将指定目录下的所有文件及子目录一并处理。
	-v  显示文件或目录版本。
	-V  显示版本信息。
Yunson.
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Samba 服务配置与管理
02-21
Re:Samba 服务配置与管理===============================    Samba 服务是一个通用性较强,微软操作系统自带,Linux 配置不太复杂的网络共享服务,我们在许多场景可以用到配置使用它,在我们的课程系列中,在proxmox企业级网络共享云存储中用到它,在Clonezilla系统迁移中也用到它,故Samba是一个基础的网络文件服务,我们必须牢牢掌握它。    本课程主要完成的是在 Linux 单网段或多网段环境中,在‘安全控制’下提供 Samba服务,其中包括指定目录、指定ip主机访问、或授权用户访问共享等高级应用,同时完成Windows管理用户Administrator,和Linux管理员root之前的相互映射等。         
怎么判断服务器攻击
m0_70754056的博客
03-14 356
要么打开了提示“server”,刷新后情况依然如此,服务器远程困难,远程连接桌面非常卡,或者远程桌面进去后是黑屏的情况。有的用户勉强能远程桌面连接进去,但是操作困难,cpu处于100%,内存占用率也高,服务器已处于瘫痪状态。DDoS攻击会针对服务器IP进行攻击,导致连接不上服务器。若是cc攻击,cpu变得很高,操作很卡,可以先让服务器提供商分析下,进服务器里看下。4.通过Ping命令来测试,若发现Ping超时或丢包严重(平时是正常的情况下),排除是网络故障因素的话,则很有可能是遭受到了流量攻击
【教你搭建服务器系列】(6)如何判断服务器入侵
HaC 的博客
05-23 427
可以说,只要你不设置安全组、防火墙,那么你的服务器基本上就没了,别问我为什么知道,因为我的三台服务器就是这么被黑掉的。
阿里云window服务器检查恶意攻击方法
yyouw1的博客
11-24 1582
当我们在使用服务器的时候,很容易就会被黑客入侵,从而用你的服务器攻击别人的网站或者系统,当这个时候,我们如何去检查和排除是哪些进程的恶意操作呢,下面来介绍: 1.打开cmd命令行,输入netstat查看哪些网络连接正在运作。 2.记住第一个连接的端口号,输入一下命令查找使用这个端口的进程pid: netstat -ano | findstr [port] 3.根据进程的pid查
阿里云服务器攻击总结
lck_csdn的博客
05-17 1523
1.为什么受攻击 1.1什么是暴力破解攻 暴力破解攻击是指攻击者通过系统地组合并尝试所有的可能性以破解用户的用户名、密码等敏感信息。攻击者往往借助自动化脚本工具来发动暴力破解攻击。 1.1.1攻击行为类型 根据暴力破解的穷举方式,其攻击行为可以分为: 字典攻击法。大多攻击者并没有高性能的破解算法和CPU/GPU,为节省时间和提高效率,会利用社会工程学或其它方式建立破译字典,使用字典中已存在的用户名、密码进行猜破。 穷举法。攻击者首先列出密码组合的可能性(如数字、大写字母、小写字母、特殊字符等),然后按密码
FTP、SMB方式下载、删除远程服务器文件
12-10
文章在这里,没有积分可留下邮箱,看到会发给出,如有与i问可留言一起探讨 https://blog.csdn.net/sutongxuevip/article/details/84939547
chattr的使用
Luck_ZZ的博客
11-19 473
一、语法 Linux chattr命令用于改变文件属性 chattr [-RV][-v<版本编号>][+/-/=<属性>][文件或目录...] 二、属性 a:让文件或目录仅供附加用途。 b:不更新文件或目录的最后存取时间。 c:将文件或目录压缩后存放。 d:将文件或目录排除在倾倒操作之外。 i:不得任意更动文件或目录。 s:保密性删除文件或目录。 S:即时更新文件或目录。 u:预防意外删除。 三、参数   -R 递归处理,将指定目录下的所有文件及子目录一并处理
控制Samba用户只能上传不能删除
关于代码的那些事
01-20 8740
目的:控制Samba用户只能上传,不能删除文件。 具体操作步骤: 1.创建共享文件夹: mkdir -m 1777 /home/share 2.设置共享文件夹属性: [share] path = /home/share writable = yes create mask = 1444 directory mask = 1555
samba挂载不能删文件夹_使用Samba在Linux上挂载Windows共享文件夹
cum44153的博客
10-07 558
samba挂载不能删文件夹If you want to “map a drive” from a Linux computer to a shared folder on a Windows computer or a shared folder on a Linux computer runningSamba, there’s a simple way that you can do this...
linux配置samba共享目录及权限
热门推荐
qq_41566366的博客
02-03 2万+
1、增加普通用户 f16g000119@ubuntu-236:~$ sudo adduser --home /fwork2/gaopeilin gaopeilinAdding user `gaopeilin' ... Adding new group `gaopeilin' (1022) ... Adding new user `gaopeilin' (1022) with group `gaopeilin' ... Creating home directory `/fwork2/gaopeili..
服务器入侵痕迹排查.pdf
最新发布
08-25
服务器入侵痕迹排查.pdf
11个步骤完美排查服务器是否已经被入侵.doc
08-24
11个步骤完美排查服务器是否已经被入侵.doc
CentOS系统通过日志反查是否入侵
09-30
最近有个朋友的服务器发现有入侵的痕迹后来处理解决但是由于对方把日志都清理了无疑给排查工作增加了许多难度。其实日志的作用是非常大的。学会使用通过日志来排查解决我们工作中遇到的一些问题是很有必要的。下面就...
【应急响应】Linux入侵排查思路
09-18
【应急响应】Linux入侵排查思路: 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第...针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
服务器安全检查要点
01-10
严格按星外安全包的视频设置可以确保服务器安全,在中国已有成千上万的服务器采用安全包的结构稳定运行了多年,如果你的服务器还是被入侵,检查以下的内容: 1.有没有将sql 2000,mysql运行在普通用户权限下,这是...
阿里云服务器攻击(请及时排查告警中提示的恶意URL,以及所下载的目录下的恶意文件)
10年IT大头兵
05-04 1578
收到阿里云提醒被攻击了: URL链接:http://185.181.10.234/e5db0e07c3d7be80v520/init.sh netstat -anp |grepSYN_SENT ###如果这个命令查出来很多,那就是被攻击了 首先:改服务器登录密码,或者检查密钥文件是否被改过。这两个点都先检查并修改。这时重启服务器。我的因为刚被攻击,那边还连着,我不重启,他还是能操作。...
服务器攻击的发现和解决过程
qq_20667511的博客
01-25 1930
记一次服务器攻击的发现和解决过程这是之前2018年左右,买阿里云服务器之后,服务器攻击,当时的记录信息,现在整理一下出现的问题解决思路和解决过程解决思路:解决步骤:思考:为什么会出现这样的脚本改写 /root/.ssh/authorized_keys通过redis日志实现的但是需要注意的是:总结: 这是之前2018年左右,买阿里云服务器之后,服务器攻击,当时的记录信息,现在整理一下 出现的问题 服务器的用户进程一直处于100%的使用 通过ps -ef ,查看进程,并未发现异常(可能是自己没注意到),
阿里云服务器攻击怎么解决?
abbe1809927446的博客
03-31 1719
总之,阿里云服务器攻击的情况时有发生,但我们可以通过提高安全意识、优化服务器设置、加强网络安全等措施,增强服务器的安全性,有效防范并应对来自网络的攻击。然而,随着网络安全威胁的日益增多,阿里云服务器攻击的情况也时有发生。5. 日志出现异常:如果服务器出现了大量的登录、错误、异常或攻击的日志,就需要考虑是否受到了攻击。1. 突然出现的异常流量:当你的服务器流量突然激增,但没有明显的原因,就需要考虑是否受到了攻击。4. 网络隔离:将被攻击服务器与其他服务器隔离,可以防止攻击的传播和后续的攻击
window访问ubuntu共享的samba文件夹没有写/修改/删除权限!!!
qq_15762939的博客
12-30 6840
【问题点】搭好了samba服务器准备来骚操作一波,却发现在写文件时提示权限不足(如下图) Ubuntu搭建Samba服务器详细步骤请双击!!! 【解决思路】思来想去,怀疑是否是smb.conf里面对文件操作权限没有打开写权限,于是乎打开配置文件一看,我可给的是最高权限了(0777),但为啥Windows就是没有写权限了,一顿猛操作后还是先问问度娘吧,度娘说可能是SElinux(防火墙)导致没有权...
服务器入侵应急响应,服务器入侵应急响应排查Linux篇)
05-19
下面介绍一下 Linux 系统下的服务器入侵应急响应排查方法: 1. 收集信息:首先需要确定是否存在入侵,需要收集服务器日志、网络流量、进程信息等,可以使用一些工具如 tcpdump、iftop、lsof 等进行收集。 2. 初步...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Yunson.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值