1.检测当前登录的用户
w
whois 命令可以接一个 IP 地址然后告诉你该 IP 所注册的组织的所有信息,当然就包括所在国家的信息。
2.查看谁曾经登录
last
3.回顾曾经使用的命令历史
history
4.检测消耗cpu的进程
top #查看任务进程
复制进程的PID
strace -p PID #PID 为复制出来的进程ID号
显示出该进程调用的所有系统调用。
lsof -p PID
列出该进程打开的文件
5.检测所有的系统进程
ps auxf
6.检测进程网络的使用情况
iftop
排列显示收发网络数据的进程以及它们的源地址和目的地址.
7.查看哪些进程在监听网络连接
lsof -i
netstat -plunt
需要留意那些处于 LISTEN 和 ESTABLISHED 状态的进程,这些进程要么正在等待连接(LISTEN),要么已经连接(ESTABLISHED)。如果遇到不认识的进程,使用 strace 和 lsof 来看看它们在做什么东西。
写在后面
ps:
如果您发现服务器已经被侵入怎么办?
first. 查看当前攻击者是否正处于登录状态, 千万别觉得自己很牛逼,可以和电视剧里演的那样,可以在线争夺会服务器的控制权(年轻人)。
需要做的操作就是赶紧关机。。。
shutdown -h now
或
systemctl poweroff
赶紧联系机房,跟机房和服务器供应商共同联系、沟通解决。
second. 你如果觉得自己非常牛逼,吊炸天!或者你的供应商有提供上游防火墙服务。
那么你可以配置下防火墙规则
a.配置服务器只允许指定的IP地址可以SSH。
b.封禁除此之外的任何东西,含ssh,还包括任何端口上的任何协议;
如果上游没有防火墙服务, 就需要在服务器本身创建这些防火墙规则策略,规则生效后,及时kill掉攻击者的SSH会话。
上面的操作只是做了服务器防护的及时制止,
千万不要拿被攻破的服务器继续使用!
千万不要拿被攻破的服务器继续使用!
千万不要拿被攻破的服务器继续使用!
重要的事情说三遍,你永远不知道(不能完全知道)攻击者在你的服务器上做了什么?留下了什么后门?
建议将重要的数据备份后,将服务器重做,重新部署。
微信扫一扫,打赏作者吧~转载请注明:苏demo的别样人生 » linux服务器是否被入侵常用的几个命令
![mysql [ERROR] InnoDB: Cannot allocate memory for the buffer pool 处理记录](https://www.libaocai.com/wp-content/themes/yusi1.0/timthumb.php?src=https://www.libaocai.com/wp-content/uploads/2019/11/20191123153700.png&h=110&w=185&q=90&zc=1&ct=1)
