Linux云服务器入侵怎么排查

87次阅读
没有评论

共计 663 个字符,预计需要花费 2 分钟才能阅读完成。

本篇内容介绍了“Linux 云服务器入侵怎么排查”的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让丸趣 TV 小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有所成!

检查当前登录用户

输入 w 或者 who,就可以看到当前只有一个用户登录,正常情况下只有你一个人登录,如果不是一个最好排查下。

检查网络连接

netstat -anp 命令查看当前网络连接,如果没有 netstat,就安装一下 sudo apt install net-tools 再查看

检查 22,445,3389,6379 等常见端口是否异常连接,检查 connect 连接的地址是否为国外或者云厂商的 ip,可以在微步或者其它的情报平台,查询该 ip 的信息

检查进程

ps -ef 检查进程,是否有异常,遇到不懂的进程可以上网查一下,从 netstat 中无法判断的连接也可以通过进程 id 查看相应进程信息 ps -ef|grep id, 定位相关文件,分析文件是否有恶意行为,或者之间上传 virustotal 等在线检测平台检查文件是否有害。

检查历史命令

.bash_history 记录了输入过的命令,可以检查是否有不是自己输入的命令

检查账号信息

/etc/passwd 查看账号信息

检查定时任务

crontab -l

检查登录日志

执行 last 或者 lastlog 查看用户最近登录日志

查看 ssh 登录日志,是否有大量的登录失败信息

“Linux 云服务器入侵怎么排查”的内容就介绍到这里了,感谢大家的阅读。如果想了解更多行业相关的知识可以关注丸趣 TV 网站,丸趣 TV 小编将为大家输出更多高质量的实用文章!

正文完
 
丸趣
版权声明:本站原创文章,由 丸趣 2023-07-12发表,共计663字。
转载说明:除特殊说明外本站除技术相关以外文章皆由网络搜集发布,转载请注明出处。
评论(没有评论)