检查系统日志
检查系统登陆日志,统计IP重试登陆的次数。对于恶意登陆的系统行为,在日志中会留下蛛丝马迹,通过检查系统登陆日志,统计重试登陆的次数,能看到哪些IP及哪些用户在恶意登陆系统。
# lastb root | awk '{print $3}' | sort | uniq -c | sort -nr| more
检查系统用户
对于入侵行为,往往通过检查系统用户,可以发现一些痕迹,比如有没有异常新增用户及提权用户。通过对系统用户的检查,是检测服务器攻击的重要方面。
1 查看是否有异常的系统用户
cat /etc/passwd
2 检查是否有新用户尤其是UID和GID为0的用户
awk -F":" '{if($3 == 0){print $1}}' /etc/passwd
检查是否存在空口令账户
awk -F: '{if(length($2)==0) {print $1}}' /etc/passwd
检查系统异常进程
对于被入侵的系统,可以通过查看进程,确认有哪些异常非系统及非业务的进程在运行,通过对这些异样进程的检查,查找恶意程序的来源。
1 使用ps -ef命令查看进程
ps -ef
尤其注意UID为root的进程
2 查看该进程所打开的端口和文件
lsof -p pid
3 检查隐藏进程
ps -ef | awk '{print $2}'| sort -n | uniq >1; ls /proc |sort -n|uniq >2;diff -y -W 40 1 2
教程参考来源:头条号老王谈运维
筋斗云的云服务器安全稳定,具备多重安全防护功能,比如 ddos高防、CC安全防护、云监控、安全组、云网盾等,能有效拦截98%以上的黑客扫描和入侵行为,极大增强云主机的安全性。
安全可靠的云服务器产品链接 https://www.jindouyun.cn/cloudhost/
以上就是关于“云服务器怎么查看被攻击”的相关介绍,筋斗云是国内较早的云主机应用的服务商,拥有10余年行业经验,提供丰富的云服务器、租用服务器等相关产品服务。云服务器资源弹性伸缩,主机vCPU、内存性能强悍、超高I/O速度、故障秒级恢复;电子化备案,提交快速,专业团队7×24小时服务支持!
简单好用、高性价比云服务器租用链接:https://www.jindouyun.cn/product/cvm