米农
ID557310
城市币-46 元
帖子77
主题77
精华0
注册时间2019-7-23
在线时间83 小时
最后登录2019-12-30
阅读权限20
积分774
- ID
- 557310
- 积分
- 774
- 实名认证
- 已实名
- 注册时间
- 2019-7-23
- 最后登录
- 2019-12-30
|
服务器被攻击检查问题一般流程
一、用root用户登录,然后 w 命令列出最近登录的用户
#passwd -l nobody(这个为可疑用户登录名)
查看是否现在依然登录
#ps -ef"grep @pts/3
531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3
#删除进程
# kill -9 6051
二、通过last命令查看用户登录事件
#last 命令的输出结果来源于/var/log/wtmp文件
三、查看系统日志
/var/log/messages、/var/log/secure
每个用户目录下的.bash_history文件
特别是/root目录下的.bash_history文件,
四、检查并关闭系统可疑进程
ps、top检查可疑进程
使用pidof命令查看运行进程的Pid pidof sshd 13276 12942 4284进入
然后进入内存目录,查看对应PID目录下exe文件的信息 ls -al /proc/13276/exe 然后可以看到该进程对应的完整执行路径。
查看文件句柄
五、查看文件是否被改动
对文件系统的检查也可以通过chkrootkit、RKHunter这两个工具来完成
杀进程:
kill
法一、 ps -ef | grep httpd kill -9 PID
法二 、 killall http
服你网专注做韩国服务器11余年,服务器相关问题可咨询QQ3123795061 |
|