Linux服务器快速排查系统是否被黑被入侵

1.异常进程

可以用top命令查看是否有占用CPU较高的进程,下面截图的进程异常,并且占用较高CPU

Linux服务器快速排查系统是否被黑被入侵 Linux服务器快速排查系统是否被黑被入侵 Linux服务器快速排查系统是否被黑被入侵 Linux服务器快速排查系统是否被黑被入侵

2.linux系统中出现类似Windows的目录或可执行文件

如果判断不是用户自己上传的,很有可能系统被黑或数据库被黑

Linux服务器快速排查系统是否被黑被入侵

3.检查定时任务crontab

可以使用crontab -l检查定时任务是否异常,比如 1 20 * /bin/rm -rf /home/wwwroot计划执行删除wwwroot目录,可能存在异常。

查看定时任务

[root@xiaoz home]# crontab -l
*/20 * * * * /usr/sbin/ntpdate pool.ntp.org > /dev/null 2>&1*
1 20 * * /bin/rm -rf /home/wwwroot

4.检查/etc/init.d/目录

检查这个目录是否有异常文件,或者一些奇怪的文件拥有x可执行权限。ll -t按照时间排序,最近添加的、一些不认识的服务,打开查看执行内容分析。

Linux服务器快速排查系统是否被黑被入侵

5.检查/etc/rc.local

vi /etc/rc.local 是否有加载异常启动。如果有都需核实是否正常。

Windows、Linux快速排查系统是否被黑

6.检查/etc/passwd

vi /etc/passwd 是否有异常账户,第三个参数:500以上就是后面建的账户,其它则为系统的用户.

使用常用命令检查

1. history:查看历史命令
2. crontab -l:查看定时任务
3. cat /etc/passwd:查看已经创建的用户
4.cat /etc/group:查看组
5.who:当前在线用户
6.who /var/log/wtmp:最近登录情况
7.screen -ls:列出所有session

linux安全建议

  1. 不要安装来历不明的一键脚本。
  2. 尽量避免直接使用root用户。
  3. 使用较为复杂的密码或者使用密钥登录。
  4. 修改SSH默认端口。
  5. 关闭数据库远程连接。

linux安全运维总结

  1. 检查/etc/init.d/目录是否有异常文件或权限异常。
  2. crontab -l检查是否有异常的定时任务。
  3. top查看是否有异常进程。
  4. who /var/log/wtmp查看最近几次登录是否有异常IP。
  5. linux pid进程PID值0-299为系统进程。

相关新闻

联系我们

400-9676-168

在线咨询:点击这里给我发消息

技术支持:400-9676-168

工作时间:8:00-22:00

QR code