查看: 905|回复: 0

[商品宣传] 服务器被攻击检查问题一般流程

[复制链接]
发表于 2019-10-30 13:26:51 | 显示全部楼层 |阅读模式
服务器被攻击检查问题一般流程

一、用root用户登录,然后 w 命令列出最近登录的用户

#passwd -l nobody(这个为可疑用户登录名)

查看是否现在依然登录

#ps -ef"grep @pts/3

531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3

#删除进程

# kill -9 6051

二、通过last命令查看用户登录事件

#last 命令的输出结果来源于/var/log/wtmp文件

三、查看系统日志

/var/log/messages、/var/log/secure

每个用户目录下的.bash_history文件

特别是/root目录下的.bash_history文件,

四、检查并关闭系统可疑进程

ps、top检查可疑进程

使用pidof命令查看运行进程的Pid pidof sshd 13276 12942 4284进入

然后进入内存目录,查看对应PID目录下exe文件的信息 ls -al /proc/13276/exe 然后可以看到该进程对应的完整执行路径。

查看文件句柄

五、查看文件是否被改动

对文件系统的检查也可以通过chkrootkit、RKHunter这两个工具来完成

杀进程:

kill

法一、 ps -ef | grep httpd kill -9 PID

法二 、 killall httpd



服务器被攻击以后,建议您选择带防护的机房或者加CDN  免备案的CDN一般速度都比较慢,远远没有免备案的服务器快

韩国服务器  KT金盾增值防护机房

CPU: E3-1230  ,E5-2670,E5-2670*2

内存:8G-128G

硬盘:固态硬盘240-1T ssd   机械硬盘 1T-4T sata  

带宽:10M-30M

防护:8G-20G (cc,ddos)

ip:最多可以加11个

系统:支持所有可以安装的系统 ,windows,centos,Ubuntu,FreeBSD 等等  

基础配置900元起

更多详情请咨询 Q 202 7006 642


您需要登录后才可以回帖 登录 | 加入论坛

本版积分规则

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.