2023-05-12 开启多语言插件支持……

linux服务器是否被入侵常用的几个命令

Linux 苏 demo 2788℃

1.检测当前登录的用户

w

whois 命令可以接一个 IP 地址然后告诉你该 IP 所注册的组织的所有信息,当然就包括所在国家的信息。

2.查看谁曾经登录

last

3.回顾曾经使用的命令历史

history

4.检测消耗cpu的进程

top  #查看任务进程

复制进程的PID

strace -p PID #PID 为复制出来的进程ID号

显示出该进程调用的所有系统调用。

lsof -p PID

列出该进程打开的文件

5.检测所有的系统进程

ps auxf

6.检测进程网络的使用情况

iftop

排列显示收发网络数据的进程以及它们的源地址和目的地址.

7.查看哪些进程在监听网络连接

lsof -i

netstat -plunt

需要留意那些处于 LISTEN 和 ESTABLISHED 状态的进程,这些进程要么正在等待连接(LISTEN),要么已经连接(ESTABLISHED)。如果遇到不认识的进程,使用 strace 和 lsof 来看看它们在做什么东西。

写在后面

ps:

如果您发现服务器已经被侵入怎么办?

first. 查看当前攻击者是否正处于登录状态, 千万别觉得自己很牛逼,可以和电视剧里演的那样,可以在线争夺会服务器的控制权(年轻人)。

需要做的操作就是赶紧关机。。。

shutdown -h now

systemctl poweroff

赶紧联系机房,跟机房和服务器供应商共同联系、沟通解决。

second. 你如果觉得自己非常牛逼,吊炸天!或者你的供应商有提供上游防火墙服务。

那么你可以配置下防火墙规则

a.配置服务器只允许指定的IP地址可以SSH。

b.封禁除此之外的任何东西,含ssh,还包括任何端口上的任何协议;

如果上游没有防火墙服务, 就需要在服务器本身创建这些防火墙规则策略,规则生效后,及时kill掉攻击者的SSH会话。

上面的操作只是做了服务器防护的及时制止,

千万不要拿被攻破的服务器继续使用!

千万不要拿被攻破的服务器继续使用!

千万不要拿被攻破的服务器继续使用!

重要的事情说三遍,你永远不知道(不能完全知道)攻击者在你的服务器上做了什么?留下了什么后门?

建议将重要的数据备份后,将服务器重做,重新部署。

 

打赏

转载请注明:苏demo的别样人生 » linux服务器是否被入侵常用的几个命令

   如果本篇文章对您有帮助,欢迎向博主进行赞助,赞助时请写上您的用户名。
支付宝直接捐助帐号oracle_lee@qq.com 感谢支持!
喜欢 (0)or分享 (0)