如何查看服务器是否有被入侵的

　　目前互联网的竞争非常激烈，只要你的业务稍微有点上规模，就会引来恶意的入侵，而不懂服务器安全攻防的朋友，往往就会十分头疼，这里给大家讲解一下如何查看服务器是否有被入侵的。

如何查看服务器是否有被入侵的

　　首先，安装服务器安全狗，服务器安全狗能够帮助用户排查入侵的漏洞，修复漏洞，查杀病毒等，功能十分强大，可以有效排查和防止黑客入侵服务器。

　　服务器安全狗，永久免费使用：http://free.safedog.cn/server_safedog.html

　　多引擎，精准查杀网页木马、各类病毒

　　独有的安全狗云查杀引擎、网马引擎与专业的二进制病毒引擎结合，精确查杀各类网页木马和主流病毒。多引擎智能查杀病毒，全面保障服务器安全。

　　三层网络防护，实时保护网络安全

　　强有力的网络防护，实时监测IP和端口访问的合法性，实时拦截ARP攻击、Web攻击(抗CC)、DDOS攻击、暴力破解。

　　全面的文件/注册表保护，杜绝非法篡改

　　全面开放保护规则，同时支持监控网站目录，有效保护重要文件、目录与注册表不被篡改与删除，实时防止网站被上传网页木马。系统默认规则与用户自定义规则全支持，灵活定制，全面保护。

　　底层驱动防护，屏蔽入侵提权

　　驱动级保护，拦截更快速，有效防止未授权的非法用户登录服务器，实时阻止非法创建和修改系统帐号。

　　服务器安全加固，避免配置风险

　　全面的服务器体检，暴露安全隐患，当前系统健康情况了然于心，同时提供贴心的优化建议措施，加固服务器更简单，系统运行更快速，更安全。

查看服务器是否被入侵

　　一、检查系统的密码文件

　　查看一下passwd文件，尤其是查看passwd当中是否有一些特权用户，一般系统中Uid为0的用户特权权限较高，可能会存在拿到控制权的可能性，但是能到这一步，我觉得这个入侵的黑客也太傻了，居然还给你留个你能看到的账户。另外还有查看空口令账号，一把这些账号都是用来提升权限用的。

　　二、就是查看一下进程，看看有没有特殊的进程，最好用进程分析工具来协助分析

　　一般网络运维人员不论是win系统还是linux运维，系统进程是必须要分析的，因为有些木马工具和病毒都会有自己的进程，隐藏比较深的病毒和木马会将自己的线程挂到正常的进程下面，因此要善于应用进程分析工具。比如inetd进程，需要重点查看，看看是否有用这个进程去启动一些奇怪的程序，一旦有基本上都是被入侵了。

　　三、检查网络连接和监听端口

　　检查网络连接和对各个监听端口的分析，也是必须要走的程序。比如：

　　输入netstat -an，列出本机所有的连接和监听的端口，查看有没有非法连接。

　　输入netstat –rn，查看本机的路由、网关设置是否正确。

　　输入 ifconfig –a，查看网卡设置。

　　通过查询访问的端口和异常IP地址进行异常分析也是常用的一种手段。

　　四、检查系统日志

　　查看在正常情况下登录到本机的所有用户的历史记录，通过登录账户的时间和登录用户名可以判断是由于系统自身因鉴权或者其他操作登录，还是人为性质的登录，虽然登录日志比较多，但是也会为入侵分析带来一些辅助性的判断依据。一般情况下linux系统下输入在linux下输入ls –al /var/log，既可以看到登录操作日志，对了还要看下系统的syslog进程是否被停用了，因为如果但凡有点技术的黑客都会停止这个进程，来防止log记录。

　　五、.rhosts和

　　.forward

　　这是两种比较著名的后门文件，如果想检查你的系统是否被入侵者安装了后门，不妨全局查找这两个文件，分别进行这两个文件和正常内容的对比。一般要是于异常，说明你的系统已经被攻破。

　　六、检查系统文件完整性

　　检查文件的完整性有多种方法，通常我们通过输入ls –l 文件名来查询和比较文件。另外还有很多工具可以帮助你检查系统文件的完整性。另外网上也有很多运维网管写的shell脚本，直接运行脚本就可以很方便的检查系统文件的完整性的，大家可以去找找进行尝试。主要是通过检查读取每个文件的checksum值来判定。

　　七、内核级后门的检查

　　对于内核级后门的检查，一般情况下是比较麻烦的，除非你有着很好的技术手段，否则还不如我重新把系统干了重新安装呢。因为需要模块一个个的分析，非常麻烦，而且其关键文件隐藏的也比较深。

　　通过上面介绍的查看服务器是否被入侵的方法，就可以知道自己的服务器目前是否安全了，如果不懂也没关系，可以先用服务器安全狗软件检测一下，修复一下服务器，如果还是遇到一些很严重的问题不知道该如何处理，也可以向安全狗咨询，我们会尽力为您解答。