檢查目前登入使用者
輸入w或who,就可以看到目前只有一個使用者登錄,正常情況下只有你一個人登錄,如果不是一個最好排查下。
檢查網路連接
netstat -anp指令查看目前網路連接,如果沒有netstat,就安裝sudo apt install net-tools再查看
檢查22,445,3389,6379等常見連接埠是否異常連接,檢查connect連接的位址是否為國外或雲端廠商的ip,可以在微步或其它的情報平台,查詢該ip的資訊
檢查進程
ps -ef 檢查進程,是否有異常,遇到不懂的進程可以上網查一下,從netstat中無法判斷的連接也可以透過進程id查看相應進程信息ps -ef|grep id,定位相關文件,分析文件是否有惡意行為,或之間上傳virustotal等線上檢測平台檢查文件是否有害。
檢查歷史命令
.bash_history記錄了輸入過的命令,可以檢查是否有不是自己輸入的命令
檢查帳號資訊
/etc/passwd查看帳號資訊
檢查定時任務
crontab -l
檢查登入日誌
執行last或lastlog查看使用者最近登入日誌
查看ssh登入日誌,是否有大量的登入失敗資訊
以上是Linux雲端伺服器入侵怎麼排查的詳細內容。更多資訊請關注PHP中文網其他相關文章!
