网友红烛春秋说:
01 查看服务器当前登录用户最基础的方法之一,查看当前登录服务器的用户,如有异常用户或IP地址正在登录,说明服务器很可能被入侵(侵犯),命令的话,使用w,who,users等都可以:02 查看服务器历史登录痕迹服务器会记录曾经登录过的用户和IP,以及登录时间和使用时长,如果存在异常用户或IP地址曾经登录过,就要注意了,服务器很可能被入侵,当然,对方为了掩盖登录,会清空/var/log/wtmp日志文件,要是你运行了last命令,只有你一个人登录,而你又从来没清空过记录,说明被入侵了:03 查看异常消耗CPU进程非异常情况下,服务器被入侵后,对方通常会执行一些非常消耗CPU任务或程序,这时你就可以运行top命令,查看进程使用CPU的情况,如果有异常进程非常消耗CPU,而你又从来没有执行过这个任务,说明服务器很可能被入侵了:04 检查服务器系统进程消耗CPU不严重或者未经授权的进程,通常不会在top命令中显示出来,这时你就需要运行“ps auxf”命令检查所有系统进程,如果有异常进程在后台悄悄运行,而你又从来没有执行过,这时就要注意了,服务器很可能被入侵了:05 查看端口、进程网络连接通常攻击者会安装一个后门程序(进程)专门用于监听网络端口收取指令,这些进程在等待期间不会消耗CPU和带宽,top命令难以发现,这时你就可以运行“netstat -plunt”命令,查看当前系统端口、进程的网络连接情况,如果有异常端口开放,就需要注意了,服务器很可能被入侵:检查网络连接和对各个监听端口的分析,也是必须要走的程序。比如:输入netstat -an,列出本机所有的连接和监听的端口,查看有没有非法连接。输入netstat –rn,查看本机的路由、网关设置是否正确。输入 ifconfig –a,查看网卡设置。通过查询访问的端口和异常IP地址进行异常分析也是常用的一种手段。