服務器被攻擊檢查問題一般流程

服務器被攻擊檢查問題一般流程

一、用root用戶登錄,然後 w 命令列出最近登錄的用戶

#passwd -l nobody(這個為可疑用戶登錄名)

查看是否現在依然登錄

#ps -ef"grep @pts/3

531 6051 6049 0 19:23 ? 00:00:00 sshd: [email protected]/3

#删除進程

# kill -9 6051

二、通過last命令查看用戶登錄事件

#last 命令的輸出結果來源于/var/log/wtmp文件

三、查看系統日志

/var/log/messages、/var/log/secure

每個用戶目錄下的.bash_history文件

特别是/root目錄下的.bash_history文件,

四、檢查并關閉系統可疑進程

ps、top檢查可疑進程

使用pidof命令查看運行進程的Pid pidof sshd 13276 12942 4284進入

然後進入内存目錄,查看對應PID目錄下exe文件的信息 ls -al /proc/13276/exe 然後可以看到該進程對應的完整執行路徑。

查看文件句柄

五、查看文件是否被改動

對文件系統的檢查也可以通過chkrootkit、RKHunter這兩個工具來完成

殺進程:

kill

法一、 ps -ef | grep httpd kill -9 PID

法二 、 killall httpd

http://m.juhua235623.cn|http://wap.juhua235623.cn|http://www.juhua235623.cn||http://juhua235623.cn