Linux服務器快速排查系統是否被(bèi)黑被(bèi)入侵
1.異常進(jìn)程
可以用top命令查看是否有占用CPU較高的進(jìn)程,下面(miàn)截圖的進(jìn)程異常,并且占用較高CPU
2.linux系統中出現類似Windows的目錄或可執行文件
如果判斷不是用戶自己上傳的,很有可能(néng)系統被(bèi)黑或數據庫被(bèi)黑
3.檢查定時任務crontab
可以使用crontab -l檢查定時任務是否異常,比如 1 20 * /bin/rm -rf /home/wwwroot計劃執行删除wwwroot目錄,可能(néng)存在異常。
查看定時任務
[root@xiaoz home]# crontab -l
*/20 * * * * /usr/sbin/ntpdate pool.ntp.org > /dev/null 2>&1*
1 20 * * /bin/rm -rf /home/wwwroot
4.檢查/etc/init.d/目錄
檢查這(zhè)個目錄是否有異常文件,或者一些奇怪的文件擁有x可執行權限。ll -t按照時間排序,最近添加的、一些不認識的服務,打開(kāi)查看執行内容分析。
5.檢查/etc/rc.local
vi /etc/rc.local 是否有加載異常啓動。如果有都(dōu)需核實是否正常。
6.檢查/etc/passwd
vi /etc/passwd 是否有異常賬戶,第三個參數:500以上就是後(hòu)面(miàn)建的賬戶,其它則爲系統的用戶.
使用常用命令檢查
1. history:查看曆史命令
2. crontab -l:查看定時任務
3. cat /etc/passwd:查看已經(jīng)創建的用戶
4.cat /etc/group:查看組
5.who:當前在線用戶
6.who /var/log/wtmp:最近登錄情況
7.screen -ls:列出所有session
linux安全建議
- 不要安裝來曆不明的一鍵腳本。
- 盡量避免直接使用root用戶。
- 使用較爲複雜的密碼或者使用密鑰登錄。
- 修改SSH默認端口。
- 關閉數據庫遠程連接。
linux安全運維總結
- 檢查/etc/init.d/目錄是否有異常文件或權限異常。
- crontab -l檢查是否有異常的定時任務。
- top查看是否有異常進(jìn)程。
- who /var/log/wtmp查看最近幾次登錄是否有異常IP。
- linux pid進(jìn)程PID值0-299爲系統進(jìn)程。