大家好,今天小编关注到一个比较有意思的话题,就是关于怎么检查服务器有没有被入侵的问题,于是小编就整理了1个相关介绍为您解答,让我们一起看看吧。
怎么查看服务器被访问?
01 查看服务器当前登录用户
最基础的方法之一,查看当前登录服务器的用户,如有异常用户或IP地址正在登录,说明服务器很可能被入侵(侵犯),命令的话,使用w,who,users等都可以:
02 查看服务器历史登录痕迹
服务器会记录曾经登录过的用户和IP,以及登录时间和使用时长,如果存在异常用户或IP地址曾经登录过,就要注意了,服务器很可能被入侵,当然,对方为了掩盖登录,会清空/var/log/wtmp日志文件,要是你运行了last命令,只有你一个人登录,而你又从来没清空过记录,说明被入侵了:
03 查看异常消耗CPU进程
非异常情况下,服务器被入侵后,对方通常会执行一些非常消耗CPU任务或程序,这时你就可以运行top命令,查看进程使用CPU的情况,如果有异常进程非常消耗CPU,而你又从来没有执行过这个任务,说明服务器很可能被入侵了:
04 检查服务器系统进程
消耗CPU不严重或者未经授权的进程,通常不会在top命令中显示出来,这时你就需要运行“ps auxf”命令检查所有系统进程,如果有异常进程在后台悄悄运行,而你又从来没有执行过,这时就要注意了,服务器很可能被入侵了:
05 查看端口、进程网络连接
通常攻击者会安装一个后门程序(进程)专门用于监听网络端口收取指令,这些进程在等待期间不会消耗CPU和带宽,top命令难以发现,这时你就可以运行“netstat -plunt”命令,查看当前系统端口、进程的网络连接情况,如果有异常端口开放,就需要注意了,服务器很可能被入侵:
到此,以上就是小编对于怎么检查服务器有没有被入侵过的问题就介绍到这了,希望这1点解答对大家有用。