主机论坛_虚拟主机_美国主机_美国虚拟主机_云主机技术_全球主机交流聚集地—Web Hosting Talk 中文站

找回密码
立即注册
发新帖

1

收听

4

听众

58

主题
发表于 2019-8-24 09:56:52 | 查看: 483| 回复: 0
服务器被攻击了该怎么检查呢?
服务器被攻击检查问题一般流程一、用root用户登录,然后 w 命令列出最近登录的用户#passwd -l nobody(这个为可疑用户登录名)查看是否现在依然登录#ps -ef"grep @pts/3531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3#删除进程# kill -9 6051二、通过last命令查看用户登录事件#last 命令的输出结果来源于/var/log/wtmp文件三、查看系统日志/var/log/messages、/var/log/secure每个用户目录下的.bash_history文件特别是/root目录下的.bash_history文件,四、检查并关闭系统可疑进程ps、top检查可疑进程使用pidof命令查看运行进程的Pid pidof sshd 13276 12942 4284进入然后进入内存目录,查看对应PID目录下exe文件的信息 ls -al /proc/13276/exe 然后可以看到该进程对应的完整执行路径。查看文件句柄五、查看文件是否被改动对文件系统的检查也可以通过chkrootkit、RKHunter这两个工具来完成杀进程:kill法一、 ps -ef | grep httpd kill -9 PID法二 、 killall httpd

收藏回复 显示全部楼层 道具 举报

您需要登录后才可以回帖 登录 | 立即注册

Archiver|手机版|小黑屋|WebHostingTalk中文站

GMT+8, 2024-3-29 14:54 , Processed in 0.066990 second(s), 23 queries .

Powered by Discuz! X3.4

Copyright © 2001-2024, Tencent Cloud.

快速回复 返回顶部 返回列表