linux服务器被入侵如何检查

　　目前服务器被入侵的现象非常频繁，网站被篡改、跳转、内容替换等等，这里以linux服务器安全防护为例，跟大家讲解一下linux服务器被入侵如何检查。

linux服务器被入侵如何检查

　　首先，安装服务器安全狗，服务器安全狗能够帮助用户排查入侵的漏洞，修复漏洞，查杀病毒等，功能十分强大，先用服务器安全狗对linux服务器全体检查一遍，做好修复工作。

　　服务器安全狗，永久免费使用：http://free.safedog.cn/server_safedog.html

　　多引擎，精准查杀网页木马、各类病毒

　　独有的安全狗云查杀引擎、网马引擎与专业的二进制病毒引擎结合，精确查杀各类网页木马和主流病毒。多引擎智能查杀病毒，全面保障服务器安全。

　　三层网络防护，实时保护网络安全

　　强有力的网络防护，实时监测IP和端口访问的合法性，实时拦截ARP攻击、Web攻击(抗CC)、DDOS攻击、暴力破解。

　　全面的文件/注册表保护，杜绝非法篡改

　　全面开放保护规则，同时支持监控网站目录，有效保护重要文件、目录与注册表不被篡改与删除，实时防止网站被上传网页木马。系统默认规则与用户自定义规则全支持，灵活定制，全面保护。

　　底层驱动防护，屏蔽入侵提权

　　驱动级保护，拦截更快速，有效防止未授权的非法用户登录服务器，实时阻止非法创建和修改系统帐号。

　　服务器安全加固，避免配置风险

　　全面的服务器体检，暴露安全隐患，当前系统健康情况了然于心，同时提供贴心的优化建议措施，加固服务器更简单，系统运行更快速，更安全。

linux服务器被入侵如何检查

　　在使用完服务器安全狗对阿里云服务器进行一遍排查之后，再来进行下面的工作。

　　一、先做排查

　　1. 当服务器被入侵时，往往会被消耗 100% 的资源。他们可能消耗 CPU 资源来进行数字货币的采矿或者发送垃圾邮件，也可能消耗带宽来发动 DoS 攻击。因此出现问题的第一个表现就是服务器 “变慢了”。这可能表现在网站的页面打开的很慢，或者电子邮件要花很长时间才能发送出去。

　　服务器出口网速飙升到874.91Mbps，服务器被入侵，消耗带宽来发动DDos攻击

　　2. 首先应该检查有哪些用户登入，发现是否有其他用户登入当前系统。使用命令w查看系统当前登入用户，如果有未知用户，使用命令pkill -kill –t 强制断开该用户的连接。

　　检查系统当前登入用户

　　3. Linux服务器会记录之前某个用户通过某个IP登入服务器的记录。使用last查看信息。登录后的历史记录会记录到二进制的 /var/log/secure 文件中，因此很容易被删除。通常攻击者会直接把这个文件删掉，以掩盖他们的攻击行为。 因此, 若你运行了 last 命令却只看得见你的当前登录，那么这就是个不妙的信号。

　　检查系统之前登入用户

　　4.运行 history 命令会显示出他们曾经做过的所有事情。 一定留意有没有用 wget 或 curl 命令来下载一些非常规软件。命令历史存储在 ~/.bash_history 文件中，因此有些攻击者会删除该文件以掩盖他们的所作所为。跟登录历史一样，若你运行 history 命令却没有输出任何东西那就表示历史文件被删掉了。这也是个不妙的信号，你需要很小心地检查一下服务器了。

　　5.运行top查看最前几个进程，是否有未知的进程运行，对不了解的进程可以使用谷歌查询一下，也可以通过losf或者strace查看这个进程是做什么的。strace会显示该系统所有的进程调用，lsof会列出这个进程打开的文件，通过这些信息查明该进程是做什么的。此时网卡出去的流量非常大，通过top发现了一个异常的进程占用资源比较高，名字不仔细看还真以为是一个Web服务进程

　　检查消耗资源的进程

　　6.消耗 CPU 不严重的未授权进程可能不会在 top 中显露出来，不过它依然可以通过 ps 列出来。命令 ps auxf 就能显示足够清晰的信息了。

　　发现程序文件在/etc目录下面是个二进制程序

　　7.iftop的功能类似top。他会排列显示收发网络数据的进程以及他们的源地址和目的地址。类似DoS攻击和垃圾邮件机器人这样的进程很容易显示在列表的最顶端。

　　使用iftop工具找出占用大量流量的连接

　　8. 杀掉异常进程，并删除进程文件。可从图1中观察到，出流量立即降下来了。但过了一会，出流量又飙升，需要继续追踪问题。

　　结束异常进程并继续追踪

　　9. 再次ps查看进程,发现异常进程

　　10. 发现系统内更多异常文件，系统常用命令ping、netstat等均被替换。

　　11.替换的命令应该很多，单靠我们去找肯定是解决不了的，建议最好是重装操作系统，并做好安全策略

　　linux服务器被入侵如何检查，只需要通过上面介绍的详细步骤一个个完成，那么只要你遭受的不是非常强大的入侵，都能保证服务器安全无忧，如果真的遭受到强大的入侵而导致服务器数据、程序被完全破坏，可以向安全狗咨询，我们会帮您解决。