云服務(wù)器怎么查看被攻擊

云服務(wù)器怎么查看被攻擊？有時(shí)候云服務(wù)器出現(xiàn)異常，有可能是人為操作不當(dāng)引起的，也有可能是系統(tǒng)被黑客入侵了。這里我們介紹下可以通過以下方面來檢測云服務(wù)器是否被攻擊了。

檢查系統(tǒng)日志

檢查系統(tǒng)登陸日志，統(tǒng)計(jì)IP重試登陸的次數(shù)。對(duì)于惡意登陸的系統(tǒng)行為，在日志中會(huì)留下蛛絲馬跡，通過檢查系統(tǒng)登陸日志，統(tǒng)計(jì)重試登陸的次數(shù)，能看到哪些IP及哪些用戶在惡意登陸系統(tǒng)。

# lastb root | awk '{print $3}' | sort | uniq -c | sort -nr| more

檢查系統(tǒng)用戶

?對(duì)于入侵行為，往往通過檢查系統(tǒng)用戶，可以發(fā)現(xiàn)一些痕跡，比如有沒有異常新增用戶及提權(quán)用戶。通過對(duì)系統(tǒng)用戶的檢查，是檢測服務(wù)器攻擊的重要方面。

1 查看是否有異常的系統(tǒng)用戶

cat /etc/passwd

2 檢查是否有新用戶尤其是UID和GID為0的用戶

awk -F":" '{if($3 == 0){print $1}}' /etc/passwd

檢查是否存在空口令賬戶

awk -F: '{if(length($2)==0) {print $1}}' /etc/passwd

檢查系統(tǒng)異常進(jìn)程

?對(duì)于被入侵的系統(tǒng)，可以通過查看進(jìn)程，確認(rèn)有哪些異常非系統(tǒng)及非業(yè)務(wù)的進(jìn)程在運(yùn)行，通過對(duì)這些異樣進(jìn)程的檢查，查找惡意程序的來源。

1 使用ps -ef命令查看進(jìn)程

ps -ef

尤其注意UID為root的進(jìn)程

2 查看該進(jìn)程所打開的端口和文件

lsof -p pid

3 檢查隱藏進(jìn)程

ps -ef | awk '{print $2}'| sort -n | uniq >1; ls /proc |sort -n|uniq >2;diff -y -W 40 1 2

教程參考來源：頭條號(hào)老王談運(yùn)維

騰佑科技的云服務(wù)器安全穩(wěn)定，具備多重安全防護(hù)功能，比如 ddos高防、CC安全防護(hù)、云監(jiān)控、安全組、云網(wǎng)盾等，能有效攔截98%以上的黑客掃描和入侵行為，極大增強(qiáng)云主機(jī)的安全性。

安全可靠的云服務(wù)器產(chǎn)品鏈接