Linux云服务器入侵怎么排查

WBOY
发布: 2023-05-11 17:04:12
转载
966 人浏览过

检查当前登录用户

Linux云服务器入侵怎么排查

输入w或者who,就可以看到当前只有一个用户登录,正常情况下只有你一个人登录,如果不是一个最好排查下。

检查网络连接

netstat -anp命令查看当前网络连接,如果没有netstat,就安装一下sudo apt install net-tools再查看

检查22,445,3389,6379等常见端口是否异常连接,检查connect连接的地址是否为国外或者云厂商的ip,可以在微步或者其它的情报平台,查询该ip的信息

检查进程

ps -ef 检查进程,是否有异常,遇到不懂的进程可以上网查一下,从netstat中无法判断的连接也可以通过进程id查看相应进程信息ps -ef|grep id,定位相关文件,分析文件是否有恶意行为,或者之间上传virustotal等在线检测平台检查文件是否有害。

检查历史命令

.bash_history记录了输入过的命令,可以检查是否有不是自己输入的命令

检查账号信息

/etc/passwd查看账号信息

检查定时任务

crontab -l

检查登录日志

执行last或者lastlog查看用户最近登录日志

查看ssh登录日志,是否有大量的登录失败信息

以上是Linux云服务器入侵怎么排查的详细内容。更多信息请关注PHP中文网其他相关文章!

相关标签:
来源:yisu.com
本站声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责声明 Sitemap
PHP中文网:公益在线PHP培训,帮助PHP学习者快速成长!