排查Linux服务器是否有被入侵方法总结
转载于https://www.toutiao.com/i6922277201157145092/?tt_from=mobile_qq×tamp=1611804548&app=news_article&use_new_style=1&req_id=20210128112908010198113012371C02D7&share_token=5d47df81-c5c8-405e-b7bc-0f3143f7dc46&group_id=6922277201157145092
日常运维工作中,我们对Linux服务器进行安全检查也是一个非常重要的环节。今天,分享一下如何检查Linux服务器是否遭受了入侵,所谓的服务器被入侵或者说被黑了的意思,是指未经授权的人或程序为了自己的某种目的登录到服务器上,通常会产生不好的影响。一些攻击者会在访问服务器的同时滥用服务器资源,并且还不大怎么会采取措施来隐藏他们正在做的事情,所以我们就可以通过一些命令来进行排查。
以一台CentOS7操作系统服务器为例。
1.“w”命令查看服务器当前登录的全部用户,并查看当前是否有非法的IP地址登录。
2.“last”命令查看以往的登录情况,查看哪些IP地址停留时间过长,并留意未授权的IP地址。
3.“history”命令回顾命令历史。显示出入侵者曾经做过的所有事情,一定留意有没有wget 或 curl命令下载类似垃圾邮件机器人或者挖矿程序之类的非常规软件。
4.入侵者可能会修改用户名及密码文件,可以查看“/etc/passwd”及“/etc/shadow”文件内容进行鉴别。
5.“top”命令查看哪些进程在消耗CPU,攻击者会运行一些特别消耗 CPU 的进程,我们只需要运行 top命令查看最前面的那几个进程就行了,并留意一些异常的进程。
6.“ps -aux”命令检查所有的系统进程。消耗 CPU 不严重的未授权进程可能不会在top中显露出来,不过我们可以通过ps 命令都列出来。检查一下是否有一些不认识的异常进程。
7.“iftop”命令检查进程的网络使用情况,找出占用大流量的连接。iftop 的功能类似top ,它会排列显示收发网络数据的进程以及他们的源地址和目的地址。类似 DoS 攻击这样的进程很容易显示在列表的最顶端。如果不支持iftop命令先使用“yum -y install iftop”进行安装。
8.查看哪些进程在监听网络连接,通常攻击者会安装一个后门程序专门监听网络端口接受指令。该进程等待期间是不会消耗 CPU 和带宽的,因此也就不容易通过top之类的命令发现。
可通过“lsof -i“命令查看。
可通过“netstat -lntup“命令查看。
