云服務器查看是否被攻擊的方法:1、檢查系統登陸日志,并統計IP重試登陸的次數,能看到哪些IP及哪些用戶在惡意登陸系統;2、檢查系統用戶是否異常,如有沒有異常新增用戶及提權用戶;3、檢查系統是否有異常進程,確認異常非系統及非業務的進程在運行,查找惡意程序的來源。
具體內容如下:
1、檢查系統日志
檢查系統登陸日志,統計IP重試登陸的次數。對于惡意登陸的系統行為,在日志中會留下蛛絲馬跡,通過檢查系統登陸日志,統計重試登陸的次數,能看到哪些IP及哪些用戶在惡意登陸系統。
# lastb root | awk '{print $3}' | sort | uniq -c | sort -nr| more
2、檢查系統用戶
對于入侵行為,往往通過檢查系統用戶,可以發現一些痕跡,比如有沒有異常新增用戶及提權用戶。通過對系統用戶的檢查,是檢測服務器攻擊的重要方面。
查看是否有異常的系統用戶
cat /etc/passwd
檢查是否有新用戶尤其是UID和GID為0的用戶
awk -F":" '{if($3 == 0){print $1}}' /etc/passwd
檢查是否存在空口令賬戶
awk -F: '{if(length($2)==0) {print $1}}' /etc/passwd
3、檢查系統異常進程
對于被入侵的系統,可以通過查看進程,確認有哪些異常非系統及非業務的進程在運行,通過對這些異樣進程的檢查,查找惡意程序的來源。
使用ps -ef命令查看進程尤其注意UID為root的進程
查看該進程所打開的端口和文件
lsof -p pid
檢查隱藏進程
ps -ef | awk '{print $2}'| sort -n | uniq >1; ls /proc |sort -n|uniq >2;diff -y -W 40 1 2
