共计 719 个字符,预计需要花费 2 分钟才能阅读完成。
这篇“Linux 云服务器入侵如何排查”文章的知识点大部分人都不太理解,所以丸趣 TV 小编给大家总结了以下内容,内容详细,步骤清晰,具有一定的借鉴价值,希望大家阅读完这篇文章能有所收获,下面我们一起来看看这篇“Linux 云服务器入侵如何排查”文章吧。
检查当前登录用户
输入 w 或者 who,就可以看到当前只有一个用户登录,正常情况下只有你一个人登录,如果不是一个最好排查下。
检查网络连接
netstat -anp 命令查看当前网络连接,如果没有 netstat,就安装一下 sudo apt install net-tools 再查看
检查 22,445,3389,6379 等常见端口是否异常连接,检查 connect 连接的地址是否为国外或者云厂商的 ip,可以在微步或者其它的情报平台,查询该 ip 的信息
检查进程
ps -ef 检查进程,是否有异常,遇到不懂的进程可以上网查一下,从 netstat 中无法判断的连接也可以通过进程 id 查看相应进程信息 ps -ef|grep id, 定位相关文件,分析文件是否有恶意行为,或者之间上传 virustotal 等在线检测平台检查文件是否有害。
检查历史命令
.bash_history 记录了输入过的命令,可以检查是否有不是自己输入的命令
检查账号信息
/etc/passwd 查看账号信息
检查定时任务
crontab -l
检查登录日志
执行 last 或者 lastlog 查看用户最近登录日志
查看 ssh 登录日志,是否有大量的登录失败信息
以上就是关于“Linux 云服务器入侵如何排查”这篇文章的内容,相信大家都有了一定的了解,希望丸趣 TV 小编分享的内容对大家有帮助,若想了解更多相关的知识内容,请关注丸趣 TV 行业资讯频道。
向 AI 问一下细节
丸趣 TV 网 – 提供最优质的资源集合!