如何排查自己的服务器是否受到了入侵

最新推荐文章于 2023-06-26 16:25:42 发布
最新推荐文章于 2023-06-26 16:25:42 发布
阅读量551 收藏 1
点赞数
分类专栏: 应急响应 文章标签: 服务器 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52501704/article/details/128417460
版权

1.入侵者可能会删除机器的日志信息,我们可以查看日志信息还存在进行排查:

命令:ll -h /var/log/*

du -sh /var/log/*

2.入侵也会新建一个存放用户名和密码文件,可以查看/etc/passed及/etc/shadow文件:

命令:ll /etc/pass*

ll /etc/sha*

3.还可能修改了用户名和密码的文件,可以查看/etc/passwd及/etc/shadow文件内容来进行甄别:

命令:more /etc/passwd

more /etc/shadow

4.查看机器最近登录成功的事件和最后一次登录不成功的登录事件:(对应日志/var/log/lastlog)

命令:lastlog

5.查看当前登录的全部用户:(对应日志文件/var/run/utmp)

命令:who

6.登录过的用户:(对应的日志文件/var/log/wtmp)

命令:last

7.机器连接时间:(对应的日志文件/var/log/wtmp)

命令:ac -dp

8.查看/var/log/secure日志文件,尝试发现入侵者的信息:

命令:cat /var/log/secure | grep -i "accepted password"

9.异常进程树

先通过top命令查看异常进程对应的PID

命令:top

然后通过虚拟文件系统目录来查找该进程的可执行文件:

命令: ll /proc/PID/ | grep -i exe

再通过查看文件命令去查看该可疑文件:

命令:ll

H1111B
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何判断自己的服务器是否入侵
CSliudehua的博客
10-20 365
如何判断自己的服务器是否入侵了呢?仅仅靠两只手是不够的,但两只手也能起到一些作用,我们先来看看UNIX系统上一些入侵检测方法,以LINUX和solaris为例。 01 检查系统密码文件 首先从明显的入手,查看一下passwd文件,ls –l /etc/passwd查看文件修改的日期。 检查一下passwd文件中有哪些特权用户,系统中uid为0的用户都会被显示出来。 查看一下进程,看看有没有奇怪的进程 重点查看进程: ps –aef | grep inetd inetd是UNIX系统的守护进
服务器入侵如何排查?如何防止服务器入侵
qq_38647109的博客
06-29 764
遇到很多次客户服务器入侵的情况,有些服务器被植入木马后门、有些被检查出有挖矿程序、有些发现登录密码不对,被恶意登录修改了密码,遇到了服务器入侵的情况应第一时间联系服务商售后处理将损失降低到最低程度,让网站、游戏等业务恢复。根据以往的处理经验,总结了一些服务器入侵排查方法,专门用来检查服务器第一时间的安全问题,看服务器入侵如何排查?如何防止服务器入侵?如何排查服务器被攻击?首先我们会对当前服务器的IP,以及IP的地址,linux服务器名称,服务器的版本是centos,还是redhat,服务器的当前
11个步骤完美排查服务器是否已经被入侵
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
07-17 321
开源Linux专注分享开源技术知识随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的...
服务器入侵如何排查?如何防止服务器入侵
携手驰网多多一同探索拥有一台服务器可以做哪些很酷的事情吧~
06-26 710
并对连接的IP,进行归属地查询,如果是国外的IP,直接记录当前进程的PID值,并自动将PID的所有信息记录,查询PID所在的linux文件地址,紧接着检查当前占用CPU大于百分之30的进程,并检查该进程所在的文件夹。以上就是服务器入侵攻击的检查办法,通过我们SINE安全给出的检查步骤,挨个去检查,就会发现出问题,最重要的是要检查日志,对这些日志要仔细的检查,哪怕一个特征都会导致服务器陷入被黑,被攻击的状态,也希望我们的分享能够帮助到更多需要帮助的人,服务器安全了,带来的也是整个互联网的安全。
linux 服务器安全设置教程
09-15
Linux 服务器的安全设置需要首先检查系统内部的记录文件,以检测是否有网络入侵。可以使用 “#more /var/log/secure grep refused” 命令来检查系统所受到的攻击,以便采取相应的对策,如使用 SSH 替换 Telnet/...
服务器管理制度.docx
06-08
2.5 发现系统受到黑客攻击时,应采取有效防御措施,并立即向项目组汇报。 2.6 不得随意改动机器的 IP 地址。 服务器操作流程 3.1 管理员应有较强的病毒防范意识,定期进行病毒检测,发现病毒立即处理。未经管理人员...
服务器系统安全分析报告.doc
06-08
6)关闭不需要的端口和服务服务器操作系统在安装的时候,会默认开 启一些服务端口,如:135、137、445等容易受到攻击的端口。 7)对外网服务器要求修改远程登录端口3389 2.服务维护、数据及文件备份 1)使用备份软件对...
实战搭建Linux远程日志服务器.pdf
09-06
Linux下的日志记录了系统每天发生的各种事情,可以通过它来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志的主要功能有审计和监测。 RHEL6下的日志文件存放在/var/log目录下,下面举几个常见的日志例子...
检测服务器是否入侵四个步骤
是日已过,命亦随减的博客
09-29 675
1、使用last命令检查是否有可疑ip登陆到系统 如果没有记录,说明/var/log/wtmp 日志被删了 2、检查是否有可疑定时任务 crontab -l ,如果有其他定时任务,则说明可能被入侵。 3、使用top命令查看系统进程 如果某个程序cup占比较高,说明被入侵 4、使用history命令查看历史操作记录 如果没有记录,说明/root/.bash_history日志被删 ...
网站服务器入侵检查,如何检查服务器是否入侵
weixin_39791386的博客
08-13 848
这里简单介绍一下吧,主要从5个方面来判断服务器是否入侵,感兴趣的朋友可以尝试一下:01查看当前登录用户这种方式最简单也最基本,查看当前登录服务器的用户,如果有异常用户或IP地址正在登录,则说明服务器很可能被入侵,命令的话,使用w,who,users等都可以:02查看历史登录记录服务器会记录曾经登录过的用户和IP,以及登录时间和使用时长,如果有异常用户或IP地址曾经登录过,就要注意了,服务器很可能...
11个步骤完美排查Linux机器是否已经被入侵
Linux云计算数据自学
11-22 410
随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考:背...
十一 个步骤完美排查服务器是否入侵
huaxin_idc的博客
07-26 838
当系统中的某个文件被意外地删除了,只要这个时候系统中还有进程正在访问该文件,那么我们就可以通过lsof从/proc目录下恢复该文件的内容。
服务器被黑该如何查找入侵、攻击痕迹
热门推荐
网站安全专家
07-21 2万+
当公司的网站服务器被黑,被入侵导致整个网站,以及业务系统瘫痪,给企业带来的损失无法估量,但是当发生服务器被攻击的情况,作为服务器的维护人员应当在第一时间做好安全响应,对服务器以及网站应以最快的时间恢复正常运行,让损失减少到最低,针对于黑客攻击的痕迹应该如何去查找溯源,还原服务器被攻击的现场,SINE安全公司制定了详细的服务器被黑自查方案。 目前网站服务器被攻击的特征如下: 网站被攻击:网站被跳...
周末生产事故!一次心惊肉跳的服务器入侵排查....
民工哥的博客
08-13 631
点击上方“民工哥技术之路”选择“置顶或星标”每天10点为你分享不一样的干货作者:安全浅谈链接:https://www.cnblogs.com/canyezhizi/p/1...
如何查看Apache的连接数和当前连接数
hnyysly的专栏
05-10 598
查看了连接数和当前的连接数  复制代码代码如下: netstat -ant | grep $ip:80 | wc -l  netstat -ant | grep $ip:80 | grep EST | wc -l  查看IP访问次数  复制代码代码如下: netstat -nat|grep ":80"|awk '{print $5}' |awk -F:
Windows服务器入侵后如何实现排查工作,应该从那几方面入手,排查什么内容
tigerman20201的博客
11-25 1405
1. 检查系统账号 (1) 检查远程管理端口是否对公网开放,服务器是否存在弱口令。 检查方法: 检查防火墙映射规则,获取服务器账号登录,也可根据实际情况咨询相关管理员。 (2)查看服务器是否存在可疑账号或新增账号。 检查方法: 打开cmd窗口,输入lusrmgr.msc命令,查看是否有新增或可疑账号,如果管理员群组的(Administrators)里有新增账户,请立即删除。 (3)查看服务器是否存在隐藏账号。 检查方法: 运行CMD命令使用net use,看不到test$这个账号,但在控制面板和本地
如何检查linux服务器是否入侵
08-06 1753
入侵服务器的症状 当服务器被没有经验攻击者或者自动攻击程序入侵了的话,他们往往会消耗 100% 的资源。他们可能消耗 CPU 资源来进行数字货币的采矿或者发送垃圾邮件,也可能消耗带宽来发动 DoS 攻击。 因此出现问题的第一个表现就是服务器 “变慢了”。这可能表现在网站的页面打开的很慢,或者电子邮件要花很长时间才能发送出去。 那么你应该查看那些东西呢? 检查 1 - 当...
11 个步骤完美 排查服务器 是否已经被入侵
beeworkshop的博客
05-09 1094
文章目录一、入侵者可能会删除机器的日志信息二、入侵者可能创建一个新的存放用户名及密码文件三、入侵者可能修改用户名及密码文件四、查看机器最近成功登陆的事件和最后一次不成功的登陆事件五、查看机器当前登录的全部用户六、查看机器创建以来登陆过的用户七、查看机器所有用户的连接时间(小时)八、如果发现机器产生了异常流量九、可以查看/var/log/secure日志文件十、查询异常进程所对应的执行脚本文件1. top命令查看异常进程对应的PID2. 在虚拟文件系统目录查找该进程的可执行文件十一、如果确认机器已被入侵,重要
文件上传的入侵排查思路
最新发布
07-14
8. 清理和恢复:如果发现恶意文件或入侵行为,立即采取措施清理受影响的系统,并还原到安全的状态。同时,对受影响的账户和用户进行必要的密码重置和安全措施。 以上是一些常见的文件上传入侵排查思路,但具体的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值