如何判断服务器是否被入侵?
1.当服务器刚启动一会时,系统cpu占用就达到一百,这时很有可能当前服务器就被ddos或者被入侵后cpu被用于挖矿。
2.服务器正在运行,首先先要考虑本机部署的应用服务是否会造成服务的压力在瞬时变大,先检查自身服务的问题,确保自身服务没有问题后,可查看用户登录等文件查看是否有异常ssh远程登录。
服务器被入侵,最好怎么处理?
- 服务器如果有开放ssh远程登录,可以设置限制登录,配置安全组等,只放行自己的IP
- 查找详细的入侵痕迹last命令或者是通过管道过滤 /var/log/secure下与’Accepted相关的日志信息来判断
- 查看服务器是否可以关闭外网,可以就先关闭外网。
- 查看相关的进程等命令是否被篡改,如果有的话,解决方案是,从一台相同版本的机器中拷贝相应的命令文件到被入侵的服务器中。然后执行查看异常进程。
- 如果上诉没有找到,可以通过netstat查看异常的连接从而查询异常进程。
- 查看定时任务,很多服务器入侵,都是通过定时任务,打满你服务器的cpu资源,导致服务无法提供。如crontab和开机启动等。
另外介绍一下两个linux命令chattr和lsattr
chattr
chattr介绍
Linux chattr命令用于改变文件属性。
这项指令可改变存放在ext2文件系统上的文件或目录属性,这些属性共有以下8种模式:
a:让文件或目录仅供附加用途。
b:不更新文件或目录的最后存取时间。
c:将文件或目录压缩后存放。
d:将文件或目录排除在倾倒操作之外。
i:不得任意更动文件或目录。
s:保密性删除文件或目录。
S:即时更新文件或目录。
u:预防意外删除。
语法
chattr [-RV][-v<版本编号>][+/-/=<属性>][文件或目录...]
参数
-R 递归处理,将指定目录下的所有文件及子目录一并处理。
-v<版本编号> 设置文件或目录版本。
-V 显示指令执行过程。
+<属性> 开启文件或目录的该项属性。
-<属性> 关闭文件或目录的该项属性。
=<属性> 指定文件或目录的该项属性。
作用
直接对linux系统的磁盘进行操作,操作不可逆
lsattr
lsattr介绍
Linux lsattr命令用于显示文件属性。
语法
lsattr [-adlRvV][文件或目录...]
参数
-a 显示所有文件和目录,包括以"."为名称开头字符的额外内建,现行目录"."与上层目录".."。
-d 显示,目录名称,而非其内容。
-l 此参数目前没有任何作用。
-R 递归处理,将指定目录下的所有文件及子目录一并处理。
-v 显示文件或目录版本。
-V 显示版本信息。