如何看Linux服务器是否被攻击？

以下几种方法检测linux服务器是否被攻击：\x0d\x0a1、检查系统密码文件 \x0d\x0a首先从明显的入手，查看一下passwd文件，ls _l /etc/passwd查看文件修改的日期。 \x0d\x0a2、查看一下进程，看看有没有奇怪的进程 \x0d\x0a\x0d\x0a重点查看进程：ps _aef | grep inetd inetd是UNIX系统的守护进程，正常的inetd的pid都比较靠前，如果看到输出了一个类似inetd _s \x0d\x0a/tmp/.xxx之类的进程，着重看inetd \x0d\x0a_s后面的内容。在正常情况下，LINUX系统中的inetd服务后面是没有-s参数的，当然也没有用inetd去启动某个文件；而solaris系统中\x0d\x0a也仅仅是inetd \x0d\x0a_s，同样没有用inetd去启动某个特定的文件；如果使用ps命令看到inetd启动了某个文件，而自己又没有用inetd启动这个文件，那就说明已经有人入侵了系统，并且以root权限起了一个简单的后门。\x0d\x0a3、检查系统守护进程 \x0d\x0a检查/etc/inetd.conf文件，输入：cat /etc/inetd.conf | grep _v “^#”，输出的信息就是这台机器所开启的远程服务。 \x0d\x0a一般入侵者可以通过直接替换in.xxx程序来创建一个后门，比如用/bin/sh 替换掉in.telnetd，然后重新启动inetd服务，那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。\x0d\x0a4、检查网络连接和监听端口 \x0d\x0a输入netstat -an，列出本机所有的连接和监听的端口，查看有没有非法连接。 \x0d\x0a输入netstat _rn，查看本机的路由、网关设置是否正确。 \x0d\x0a输入 ifconfig _a，查看网卡设置。 \x0d\x0a5、检查系统日志 \x0d\x0a命令last | \x0d\x0amore查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程，这已经成为入侵者攻击的重要目标。入侵者通常会停止系\x0d\x0a统的syslog，查看系统syslog进程的情况，判断syslog上次启动的时间是否正常，因为syslog是以root身份执行的，如果发现\x0d\x0asyslog被非法动过，那说明有重大的入侵事件。 \x0d\x0a在linux下输入ls _al /var/log \x0d\x0a检查wtmp utmp，包括messgae等文件的完整性和修改时间是否正常，这也是手工擦除入侵痕迹的一种方法。 \x0d\x0a6、检查系统中的core文件 \x0d\x0a通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法，典型的RPC攻击就是通过这种方式。这种方式有一定的成功率，也就是说并不能\x0d\x0a100%保证成功入侵系统，而且通常会在服务器相应目录下产生core文件，全局查找系统中的core文件，输入find / -name core \x0d\x0a_exec ls _l {} \依据core所在的目录、查询core文件来判断是否有入侵行为。\x0d\x0a7、检查系统文件完整性 \x0d\x0a检查文件的完整性有多种方法，通常通过输入ls _l \x0d\x0a文件名来查询和比较文件，这种方法虽然简单，但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在LINUX下可以用rpm _V \x0d\x0a`rpm _qf 文件名` \x0d\x0a来查询，查询的结果是否正常来判断文件是否完整。在LINUX下使用rpm来检查文件的完整性的方法也很多，这里不一一赘述，可以man \x0d\x0arpm来获得更多的格式。

网站服务器是否遭到侵略也可以终究靠以下几个过程进行承认：

第一步：查看体系组及用户。假设发现administrators组内增加一个admin$或相类似的用户，或许性你的网站就已遭到了侵略；

第二步：查看管理员账户是否存在反常的登录和刊出记载

挑选一切体系登录日记及体系刊出日记，并具体查看其登录ip，核实该ip是否为常用的管理员登录ip；

第三步：查看服务器是否存在反常启动项

上面三个过程任何一个过程呈现了反常都有或许是因为服务器遭到了侵略。

网站服务器遭受侵略应该怎么处理

1.暂时封闭网站

网站被侵略之后，最常见的状况便是被植入木马，为了确保访问者的安全，一般都要把网站暂时封闭。在封闭过程中可以把域名暂时转到别的一个网站或许一个告诉页面。

2.剖析网站受损程度

有些黑客侵略了网站之后会把一切的网站数据都清空，假设有数据备份的站点可以终究靠数据备份康复网站数据，假设没有备份的则需要请专业硬盘数据康复公司进行数据康复。假设网站的页面数据没有发生什么改变，则网站或许仅仅是被挂马了，可以终究靠第三四个过程消除影响。

3.检测缝隙并打补丁

数据康复之后一定要扫描网站的缝隙并进行打补丁处理。一般的网站程序官方都会定时推出相关的补丁文件，只要把文件上传到服务器并掩盖之即可。

4.木马病毒铲除

木马病毒可以终究靠专业的杀毒软件进行查杀。在这里必需要分外留意的是，有时候有些正常的文件都会被误判为病毒，这样一个时间段就需要用户自己细心辨认之了。

5.常常备份数据

重要的数据经常备份

6.建议可以联署一些防入侵，篡改的防护产品

而国内网络很大一部分的垃圾流量（恶意CC攻击、ddos攻击、垃圾邮件、垃圾弹窗广告等）也都是以这类被盗用入侵的IDC产品为土壤而滋生的。

由此可见，对于自身的IDC产品做好安全防护及快速的故障排查是一个相当有必要的事情。不仅能提高自身产品的附加价值。提高产品的利用率。提升品牌形象，更能给客户一个良好的服务面貌。

在此，笔者对常见的托管租用使用windows server

第一步、检查系统组及用户

我的电脑——右键管理——本地用户和组——组

检查administrators组内是否存在除开管理员用户账号（默认为administrator）以外的其他用户账号

检查users组内是否存在非系统默认账号或管理员指定账号

本地用户和组——用户

检查是否存在未做注释或名称异常的用户

一般由于软件后本被入侵的服务器都会在administrators组内添加一个admin$或相类似的用户，一旦发现该类用户就应该首先避免运行任何程序，停止所有服务并及时使用杀毒软件对服务器关键区域（启动驻存、C盘

系统文件夹 用户自定义文件夹）进行完整扫描，避免木马的二次交叉感染。

第二步，检查管理员账户是否存在异常的登陆和注销记录

我的电脑——右键管理——事件查看器——安全性

筛选所有事件ID为576和528的事件（576为系统登陆日志 528为系统注销日志）

查看具体事件信息内容。内容内会存在一个登陆IP。检查该IP是否为管理员常用登陆的IP(ip138 你懂的)

第三步、检查服务器是否存在异常的登陆启动项

开始菜单——所有程序——启动

该目录在默认情况下应该是一个空目录，但是如果出现一个异常的.bat程序的话就应该全盘扫描服务器以确认服务器安全性

开始菜单——运行msconfig启动菜单栏中是否存在命名异常的启动项目，例如A.EXE

XXXXI1SU2.EXE等，一旦发现全盘扫描服务器以确认服务器安全性

开始菜单——运行regedit

hkey_current_user—software—micorsoft—windows—currentversion-run

hkey_current_machine—software—micorsoft—windows—currentversion-run

检查以上2个项目下是否存在异常

一般情况下如果以上3个步骤检查不存在异常的话基本就可以判定服务器的安全环境是无故障的

---