您的位置: 新闻资讯 > 新闻动态 > 正文

如何排查服务器是否被入侵?


来源:mozhe 2022-10-27
如何判断是否被入侵:

1、未经授权

2、获取敏感数据(个人隐私数据、用户信息)

3、篡改数据或者是删除数据

4、控制资产(控制服务器对外发起ddos,当作嵌入其他目标的跳板、跑比特币挖矿程序等)

如何查看自己服务器是否被入侵:

系统登录日志

服务器会记录曾经登录过的ip,以及登录时间和使用时长,如果存在异常ip地址曾经登录过,就要注意了,说明服务器和可能被入侵,当然,对方也可能为了掩盖登录痕迹,会清除日志文件,只有您一个人知道登录密码,又没有清空过记录,说明被被入侵了

进程分析

对当前活动进程、网络连接、启动项、计划任务等进行排查。非异常情况下,服务器被入侵后,对方通常会执行一些非常消耗cpu任何或者程序,这时就可以查看cpu使用情况,如果有异常进程非常消耗cpu,而你从没有执行过这个任务,说明服务器很可能被入侵了

系统进程

消耗CPU不严重或者未经授权的进程,通常不会在top命令中显示出来,这时你就需要运行“ps auxf”命令检查所有系统进程,如果有异常进程在后台悄悄运行,而你又从来没有执行过,这时就要注意了,服务器很可能被入侵了

查看端口、进程网络连接

通常攻击者会安装一个后门程序(进程)专门用于监听网络端口收取指令,这些进程在等待期间不会消耗CPU和带宽,top命令难以发现,这时你就可以运行“netstat -plunt”命令,查看当前系统端口、进程的网络连接情况,如果有异常端口开放,就需要注意了

建议针对服务器防御入侵做以下这些措施:

1、查看系统事件安全日志,查看是否有黑客入侵,查到相关的可疑ip,进行限制ip访问

2、禁用不必要启动的服务与定时任务

3、服务器最好定期杀毒、查毒

4、做好服务器文件备份

5、服务器可以设置禁止ping命令,让黑客ping不到

6、谨慎利用软件和文件下载链接,往往藏有后门及陷阱病毒,如果要使用,那么一定要彻底地检测它们,如果不这样做,可能会损失惨重。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务,全网第一款指纹识别技术防火墙,自研的WAF指纹识别架构,提供任意CC和DDoS攻击防御。
 

热门文章

X

7x24 小时

免费技术支持

15625276999


-->