如何看Linux服务器是否被攻击？

以下几种方法检测linux服务器是否被攻击：

1、检查系统密码文件

首先从明显的入手，查看一下passwd文件，ls –l /etc/passwd查看文件修改的日期。

2、查看一下进程，看看有没有奇怪的进程

重点查看进程：ps –aef | grep inetd inetd是UNIX系统的守护进程，正常的inetd的pid都比较靠前，如果看到输出了一个类似inetd –s

/tmp/xxx之类的进程，着重看inetd

–s后面的内容。在正常情况下，LINUX系统中的inetd服务后面是没有-s参数的，当然也没有用inetd去启动某个文件；而solaris系统中

也仅仅是inetd

–s，同样没有用inetd去启动某个特定的文件；如果使用ps命令看到inetd启动了某个文件，而自己又没有用inetd启动这个文件，那就说明已经有人入侵了系统，并且以root权限起了一个简单的后门。

3、检查系统守护进程

检查/etc/inetdconf文件，输入：cat /etc/inetdconf | grep –v “^#”，输出的信息就是这台机器所开启的远程服务。

一般入侵者可以通过直接替换inxxx程序来创建一个后门，比如用/bin/sh 替换掉intelnetd，然后重新启动inetd服务，那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。

4、检查网络连接和监听端口

输入netstat -an，列出本机所有的连接和监听的端口，查看有没有非法连接。

输入netstat –rn，查看本机的路由、网关设置是否正确。

输入 ifconfig –a，查看网卡设置。

5、检查系统日志

命令last |

more查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程，这已经成为入侵者攻击的重要目标。入侵者通常会停止系

统的syslog，查看系统syslog进程的情况，判断syslog上次启动的时间是否正常，因为syslog是以root身份执行的，如果发现

syslog被非法动过，那说明有重大的入侵事件。

在linux下输入ls –al /var/log

检查wtmp utmp，包括messgae等文件的完整性和修改时间是否正常，这也是手工擦除入侵痕迹的一种方法。

6、检查系统中的core文件

通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法，典型的RPC攻击就是通过这种方式。这种方式有一定的成功率，也就是说并不能

100%保证成功入侵系统，而且通常会在服务器相应目录下产生core文件，全局查找系统中的core文件，输入find / -name core

–exec ls –l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为。

7、检查系统文件完整性

检查文件的完整性有多种方法，通常通过输入ls –l

文件名来查询和比较文件，这种方法虽然简单，但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在LINUX下可以用rpm –V

`rpm –qf 文件名`

来查询，查询的结果是否正常来判断文件是否完整。在LINUX下使用rpm来检查文件的完整性的方法也很多，这里不一一赘述，可以man

rpm来获得更多的格式。

由于安全威胁持续不断，配备入侵检测系统(IDS)已成为如今数据中心环境下最重要的要求之一。然而，随着越来越多的服务器将网卡升级到10GB/40GB以太网技术，我们越来越难在大众化硬件上以线速实施计算密集型入侵检测。本篇文章将演示如何在linux服务器上安装和配置Suricata IDS。在linux上安装Suricata IDS不妨用源代码构建Suricata。你先要安装几个所需的依赖项，如下所示。在Debian、Ubuntu或linux Mint上安装依赖项$ sudo apt-get install wget build-essential libpcre3-dev libpcre3-dbg automake autoconf libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libjansson-dev在CentOS、Fedora或RHEL上安装依赖项$ sudo yum install wget libpcap-devel libnet-devel pcre-devel gcc-c++ automake autoconf libtool make libyaml-devel zlib-devel file-devel jansson-devel nss-devel一旦你安装了所有必需的程序包，现在可以安装Suricata了，如下所示。首先，从suricata-ids(https://)安装可用的社区规则集的最新快照，并将它们存储在/etc/suricata/rules下。首次配置Suricata IDS现在就可以配置Suricata了。配置文件位于/etc/suricata/suricatayaml。使用文本编辑工具打开文件，以便编辑。$ sudo vi /etc/suricata/suricatayaml下面是一些基本的设置，供你开始入门。“default-log-dir”关键字应该指向Suricata日志文件的位置。default-log-dir: /var/log/suricata/在“vars”这部分下面，你会找到Suricata使用的几个重要变量。“HOME_NET”应该指向由Suricata检查的本地网络。“!$HOME_NET”(被分配给EXTERNAL_NET)指本地网络以外的任何网络。“XXX_PORTS”表明不同服务所使用的一个或多个端口号。请注意：不管使用哪个端口， Suricata都能自动检测HTTP流量。所以，正确指定HTTP_PORTS变量并不是很重要。vars:HOME_NET: [1921681220/24]EXTERNAL_NET: !$HOME_NETHTTP_PORTS: 80SHELLCODE_PORTS: !80SSH_PORTS: 22“host-os-policy”这部分用来防范一些利用操作系统的网络堆栈的行为(比如TCP重组)来规避检测的常见攻击。作为一项应对措施，现代IDS想出了所谓的“基于目标的”检测，检查引擎根据流量的目标操作系统，对检测算法进行微调。因而，如果你知道每个本地主机运行什么操作系统，就可以将该信息提供给Suricata，从而有望提高其检测速度。这时候用到了“host-os-policy“部分。在该例子中，默认的IDS策略是linux;如果不知道某个IP地址的操作系统信息，Suricata就会运用基于linux的检查策略。如果捕获到1921681220/28和192168122155的流量，Suricata就会运用基于Windows的检查策略。host-os-policy:# 这些是Windows机器。windows: [1921681220/28, 192168122155]bsd: []bsd-right: []old-linux: []# 将linux作为默认策略。linux: [0000/0]old-solaris: []solaris: [::1]hpux10: []hpux11: []irix: []macos: []vista: []windows2k3: []在“threading”这部分下面，你可以为不同的Suricata线程指定CPU亲和性(CPU affinity)。默认情况下，CPU亲和性被禁用(“set-cpu-affinity: no”)，这意味着Suricata线程将被安排在任何可用的CPU核心上。默认情况下，Suricata会为每个CPU核心创建一个“检测”线程。你可以调整这个行为，只要指定“detect-thread-ratio: N”。这会创建N x M个检测 线程，其中M是指主机上CPU核心的总数。