怀疑你的Linux服务器被入侵了？快来排查一下吧（linux服务器被攻击了如何排查）

如果您怀疑您的Linux 系统已受到损害，则快速有效地进行紧急响应和故障排除非常重要。在本文中，您将全面了解应急响应故障排除思路，并掌握尽快解决问题并确保系统安全所需的基本技能。

博主简介：目前阿里巴巴嵌入式技术专家，15年工作经验，深度涉足嵌入式+人工智能领域，熟悉嵌入式领域开发、技术管理、简历招聘和面试。 CSDN是提供产品评测、学习辅导、简历面试辅导、毕业辅导、项目开发、C/C++/Java/Python/Linux/AI等服务的优质创造者。如有兴趣，请站内私信或VX名片底部联系我们（ID：gylzbk）。

博主粉丝群介绍： 群内有初中、高中、本科生、研究生、博士生，可以互相学习、交流关心的问题。 人气榜前10名常客也属于该群，拥有数以千计粉丝的大粉丝，可以交流写作技巧、上榜经验、增加粉丝的秘诀等。 群里有专业精英、大公司牛人，可以交流技能、面试、求职等经验。 加入群组，免费获得写作技巧。这将帮助您从写作初学者进步到创意大师。 进群后，您将收到CSDN评论防封脚本，并可以发送真实活跃粉丝，增加您文章的热度。如果您有兴趣，请在文末添加您的联系方式并备注您的CSDN昵称。邀请您的小组互相学习，共同进步。

怀疑你的Linux服务器被入侵了？快来排查一下吧

怀疑您的Linux 服务器已被入侵？请查看基本应急响应技能基本技能和工具

紧急情况下故障排除的概念1. 初步调查1.1 检查事件类型1.2 检查系统是否异常

2. 数据收集2.1 获取登录历史记录2.1.1 输出示例2.2 检查系统日志2.2.1 内容示例2.3 监控网络连接和端口2.3.1 输出示例2.4 检查进程和服务2.4.1 输出示例2.5 文件一致性检查2.5. 输出示例示例2.6 检查启动项2.7 检查定时任务

3. 分析和验证3.1 分析登录和日志3.2 分析网络连接3.2.1 示例输出3.3 分析进程和服务3.3.1 高CPU 利用率的进程示例3.4 验证文件完整性3.4.1 文件验证示例

4. 网络分析和对策4.1 隔离受感染系统4.2 事件报告4.3 恢复和加固4.4 事件后总结和修复

常用工具和命令概述文件和日志操作系统状态监控网络监控文件完整性检查用户和权限管理高级工具

结论

怀疑你的Linux服务器被入侵了？快来排查一下吧

如果您怀疑您的Linux 系统已受到损害，那么快速有效地进行紧急响应和故障排除非常重要。在本文中，您将全面了解应急响应故障排除思路，并掌握尽快解决问题并确保系统安全所需的基本技能。

应急响应基础技能

基本技能和工具

在应对紧急情况之前，学习以下基本技能和工具非常重要：

基本的Linux命令操作：ls、cat、grep、find、awk、sed等。日志分析能力：熟悉系统和应用程序日志文件的位置和格式，包括/var/log目录下的日志文件。分析网络连接和端口：使用netstat、ss和nmap等工具。文件完整性检查工具：使用md5sum、sha256sum等工具检查文件完整性。系统和用户进程管理：ps、top、htop等。

应急响应排查思路

1. 初步调查

1.1 确认事件类型

首先，我们需要明确当前正在发生的安全事件的类型。例如：

入侵检测恶意软件感染数据泄露拒绝服务(DDoS) 攻击

1.2 检查系统异常

请检查系统是否存在以下异常情况。

未经授权的用户登录或进程的磁盘空间异常减少可能会显着降低系统性能。

2. 数据收集

2.1 获取登录历史

使用last 和lastb 命令显示系统上的用户登录和失败登录尝试的记录。

最后的

最后一个b

2.1.1 实例输出

$最后

用户名pts/0 192.168.0.105 9 月22 日星期三10:21 仍处于登录状态

用户名pts/0 192.168.0.105 9 月22 日星期三09:56 – 10:21 (00:24)

重新启动系统，启动4.15.0-142-generic，9 月22 日星期三09:55 – 10:22 (00:27)

# 表示用户用户名于2021年9月22日上午10点21分登录，并且仍然在线。

2.2 检查系统日志

检查系统日志，尤其是auth.log（身份验证日志）和syslog（系统日志）。

尾-n 100 /var/log/auth.log

尾-n 100 /var/log/syslog

2.2.1 示例内容

$ tail -n 100 /var/log/auth.log

Sep 22 10:21:17 主机名sshd[12345]: 192.168.0.105 端口54321 接受来自ssh2 的用户名密码

# 表示SSH 登录尝试成功。

2.3 网络连接和端口监控

使用netstat 或ss 命令查看当前的网络连接和侦听端口。

netstat-tulnp

党卫军-特朗普

2.3.1 示例输出

$ netstat -tulnp

Proto Recv-Q Send-Q 本地地址外部地址状态PID/程序名称

tcp 0 0 0.0.0.0:22 0.0.0.0:* 监听1234/sshd

tcp 0 0 0.0.0.0:80 0.0.0.0:* 监听5678/nginx

2.4 进程与服务检查

使用ps 或top 命令查看系统中当前的进程和服务。

ps辅助

向上

2.4.1 示例输出

$psaux

用户PID %CPU %MEM VSZ RSS TTY STAT 启动时间命令

根1234 0.0 0.1 125684 3644 ？ Ss Sep22 0:00 /usr/sbin/sshd

www-data 5678 0.2 1.2 123456 123456 ？ S Sep22 0:23 nginx: 工作进程

2.5 文件完整性检查

使用find 命令搜索系统上最近修改的文件。

查找/-mtime -1

2.5.1 示例输出

$查找/-mtime -1

/var/log/auth.log

/etc/密码

2.6 检查开机启动项

检查系统启动项是否有异常启动项。

# 对于系统d

systemctl list-unit-files –type=service –state=enabled

# 检查rc.local

猫/etc/rc.local

# 检查crontab

crontab -l

ls /etc/cron.*

ls /var/spool/cron/crontabs

2.7 检查计划任务

检查cron 计划任务是否有可疑的计划任务。

crontab -l

猫/etc/crontab

ls /etc/cron.d/

猫/etc/cron.hourly/

猫/etc/cron.daily/

3. 分析与确认

3.1 分析登录记录与日志

检查可疑的登录记录和失败的登录尝试。检查您的日志是否有任何可疑错误或警告。

3.2 分析网络连接

验证所有侦听端口和网络连接是否正常。使用tcpdump 或Wireshark 捕获和分析网络流量。

tcpdump -i eth0

3.2.1 示例输出

$ tcpdump -i eth0

tcpdump: 详细输出被抑制。使用-v 或-vv 进行完整协议解码

监听eth0，链路类型EN10MB（以太网），捕获大小262144 字节

10:23:04.123456 IP 192.168.0.105.54321 192.168.0.100.80: 标志[S]，序列1234567890，win 29200，选项[mss 1460，sackOK，TS val 12345678] 9 0 ecr 0，nop，wscale 7]，长度0

3.3 分析进程和服务

检查是否存在消耗大量系统资源的可疑进程。验证所有正在运行的服务是否正常。

3.3.1 高CPU占用进程示例

$顶部

顶部- 10:24:01 向上1:29，1 个用户，平均负载： 0.10、0.15、0.09

任务： 总共93 个，1 个运行，92 个睡眠，0 个停止，0 个僵尸

%Cpu(s): 25.0 us、5.9 sy、0.0 ni、69.1 id、0.0 wa、0.0 hi、0.0 si、0.0 st

KiB Mem : 总计2047120，免费800764，已用126904，增益/缓存1119452

KiB Swap: 总计2097148，免费2097148，已用内存1756024。

PID 用户PR NI VIRT RES SHR S %CPU %MEM TIME+ 命令

5678 www-data 20 0 123456 123456 12345 S 50.0 6.0 0:30.01 nginx:工作进程

3.4 验证文件完整性

检查最近修改的文件（系统配置文件、二进制文件等）是否有异常更改。使用diff 命令比较文件的内容以查看它们是否已更改。

md5sum /var/log/auth.log

sha256sum /etc/passwd

3.4.1 文件校验示例

$ md5sum /etc/passwd

5d41402abc4b2a76b9719d911017c592 /etc/passwd

4. 联网分析与对策

4.1 隔离受感染系统

如果发现系统受到损害或感染恶意软件，请立即将受感染的系统与网络隔离，以防止进一步传播。

4.2 事件报告

为相关安全团队和管理员创建详细的事件报告，记录调查过程、调查结果和采取的措施。

4.3 恢复与加固

清除系统中的恶意软件和后门。更新系统和应用软件，修补漏洞，确保不残留恶意代码。更改受影响用户的密码和密钥，以确保系统安全。

4.4 事后总结与改进

分析事件原因、识别漏洞来源并记录经验教训。更新和改进事件响应计划，改进系统安全策略和防御。

常用工具和命令汇总

文件与日志操作

命令功能： ls 列出目录内容cat、more、less 显示文件内容grep 搜索文本或日志文件find 搜索文件tail 显示文件末尾内容head 显示文件开头内容文件的

系统状态监控

命令功能ps：显示系统当前进程。 top、htop：实时显示系统资源使用情况。 df：显示磁盘空间使用情况。 du：显示目录空间使用情况。 uptime：显示系统运行时间和负载。

网络监控

命令功能netstat 显示网络连接和端口信息ss 显示网络连接和端口信息tcpdump 捕获和分析网络流量nmap 网络和端口扫描ifconfig 显示网络接口配置信息ping test 网络连接traceroute 路由跟踪

文件完整性检查

命令功能md5sum 生成MD5 校验码。 sha256sum 生成SHA-256 校验码。比较diff 文件的差异。 stat 显示文件或文件系统的状态信息。

用户和权限管理

命令功能：who、w（显示上次登录用户信息）、lastb（显示用户登录历史和失败记录）chmod（更改文件权限）chown（更改文件所有者）sudo（admin访问（提供权限）

进阶工具

工具功能：fail2ban iptables 配置防火墙规则，防止暴力攻击auditd 安全审计服务clamav 开源防病毒软件chkrootkit rootkit 检查工具rkhunter 用于rootkit 检测Rootkit Hunter

结语

如果您怀疑您的Linux 系统已被入侵，无需惊慌。通过上面列出的详细故障排除步骤和常用命令工具，您可以快速有效地响应安全事件，减轻损失并恢复系统的正常运行。掌握这些技能对于确保系统安全至关重要。

我们祝愿您成功保护您的系统。

# 针对以上情况，您认为您的Linux服务器是否已被攻破？相关内容来源网络仅供参考。相关信息请参见官方公告。