溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
云服務器怎么樣查看有沒有被攻擊?針對這個問題,這篇文章詳細介紹了相對應的分析和解答,希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。
如何判斷自己的服務器是否被入侵了,這里以LINUX和solaris為例,來看看UNIX系統上一些入侵檢測方法。
檢查系統密碼文件
首先從明顯的入手,查看一下passwd文件,查看文件修改的日期。檢查一下passwd文件中有哪些特權用戶,云服務器系統中uid為0的用戶都會被顯示出來。
查看有無奇怪的進程
inetd是UNIX系統的守護進程,正常的inetd的pid都比較靠前,如果你看到輸出了一個類似inetd –s /tmp/.xxx之類的進程,著重看inetd –s后面的內容。UNIX下隱藏進程,有的時候通過替換ps文件來做,檢測這種方法涉及到檢查文件完整性。
檢查系統守護進程
一般入侵者可以通過直接替換in.xxx程序來創建一個后門,比如用/bin/sh 替換掉in.telnetd,然后重新啟動inetd服務,那么telnet到服務器上的所有用戶,將不用輸入用戶名和密碼而直接獲得一個rootshell。
檢查系統日志
命令last | more查看在正常情況下,登錄到本機的所有用戶的歷史記錄。但last命令依賴于syslog進程,這已經成為入侵者攻擊的重要目標。入侵者通常會停止系統的syslog,查看系統syslog進程的情況,判斷syslog上次啟動的時間是否正常,因為syslog是以root身份執行的,如果發現syslog被非法動過,那說明有重大的入侵事件。
檢查系統中的core文件
通過發送畸形請求來攻擊服務器的某一服務來入侵系統,是一種常規的入侵方法,典型的RPC攻擊就是通過這種方式。這種方式有一定的成功率,也就是說它并不能100%保證成功入侵系統,而且通常會在服務器相應目錄下產生core文件,全局查找系統中的core文件,依據core所在的目錄、查詢core文件來判斷是否有入侵行為。
關于云服務器怎么樣查看有沒有被攻擊問題的解答就分享到這里了,希望以上內容可以對大家有一定的幫助,如果你還有很多疑惑沒有解開,可以關注億速云行業資訊頻道了解更多相關知識。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
