grep -i “Failed password|root” /var/log/auth.log; journalctl -xe
多次失败登录、root远程登录尝试
实时进程与资源
top/htop; ps aux --forest
未知进程、CPU/内存异常占用
网络连接与监听
ss -tulpen; netstat -tulpen; lsof -i
非常见端口、可疑外连、ESTABLISHED到陌生IP
可疑文件与持久化
find /tmp /dev/shm -type f -mtime -1; ls -la ~/.ssh/authorized_keys
临时目录新文件、SSH公钥被植入
完整性校验
aide --check; sha256sum /bin/ls /usr/bin/sudo
关键二进制/配置被修改
恶意软件扫描
rkhunter --check; chkrootkit
Rootkit、后门、隐藏进程
网络流量分析
tcpdump -ni any ‘tcp & (tcp-syn) != 0’ -c 100; tshark -i any -Y “http or dns”
异常SYN洪泛、可疑域名解析
漏洞与暴露面
nmap -sV -p- -T4 127.0.0.1; openvas; nessus
开放高危服务、已知CVE
防火墙与阻断
ufw deny from ; iptables -A INPUT -s -j DROP; fail2ban-client status
快速封禁来源IP、观察封禁状态
三 自动化与持续监测
四 发现后的处置与加固
复盘与监测:持续监控一段时间,确认无残留后回归生产。
五 注意事项
以上就是关于“如何检测debian系统exploit攻击”的相关介绍,筋斗云是国内较早的云主机应用的服务商,拥有10余年行业经验,提供丰富的云服务器、租用服务器等相关产品服务。云服务器资源弹性伸缩,主机vCPU、内存性能强悍、超高I/O速度、故障秒级恢复;电子化备案,提交快速,专业团队7×24小时服务支持!
简单好用、高性价比云服务器租用链接:https://www.jindouyun.cn/product/cvm