如何看Linux服务器是否被攻击?
以下几种方法检测linux服务器是否被攻击:\x0d\1、检查系统密码文件 \x0d\首先从明显的入手,查看一下passwd文件,ls _l /etc/passwd查看文件修改的日期。 \x0d\2、查看一下进程,看看有没有奇怪的进程 \x0d\\x0d\重点查看进程:ps _aef | grep inetd inetd是UNIX系统的守护进程,正常的inetd的pid都比较靠前,如果看到输出了一个类似inetd _s \x0d\/tmp/xxx之类的进程,着重看inetd \x0d\_s后面的内容。在正常情况下,LINUX系统中的inetd服务后面是没有-s参数的,当然也没有用inetd去启动某个文件;而solaris系统中\x0d\也仅仅是inetd \x0d\_s,同样没有用inetd去启动某个特定的文件;如果使用ps命令看到inetd启动了某个文件,而自己又没有用inetd启动这个文件,那就说明已经有人入侵了系统,并且以root权限起了一个简单的后门。\x0d\3、检查系统守护进程 \x0d\检查/etc/inetdconf文件,输入:cat /etc/inetdconf | grep _v “^#”,输出的信息就是这台机器所开启的远程服务。 \x0d\一般入侵者可以通过直接替换inxxx程序来创建一个后门,比如用/bin/sh 替换掉intelnetd,然后重新启动inetd服务,那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。\x0d\4、检查网络连接和监听端口 \x0d\输入netstat -an,列出本机所有的连接和监听的端口,查看有没有非法连接。 \x0d\输入netstat _rn,查看本机的路由、网关设置是否正确。 \x0d\输入 ifconfig _a,查看网卡设置。 \x0d\5、检查系统日志 \x0d\命令last | \x0d\more查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程,这已经成为入侵者攻击的重要目标。入侵者通常会停止系\x0d\统的syslog,查看系统syslog进程的情况,判断syslog上次启动的时间是否正常,因为syslog是以root身份执行的,如果发现\x0d\syslog被非法动过,那说明有重大的入侵事件。 \x0d\在linux下输入ls _al /var/log \x0d\检查wtmp utmp,包括messgae等文件的完整性和修改时间是否正常,这也是手工擦除入侵痕迹的一种方法。 \x0d\6、检查系统中的core文件 \x0d\通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法,典型的RPC攻击就是通过这种方式。这种方式有一定的成功率,也就是说并不能\x0d\100%保证成功入侵系统,而且通常会在服务器相应目录下产生core文件,全局查找系统中的core文件,输入find / -name core \x0d\_exec ls _l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为。\x0d\7、检查系统文件完整性 \x0d\检查文件的完整性有多种方法,通常通过输入ls _l \x0d\文件名来查询和比较文件,这种方法虽然简单,但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在LINUX下可以用rpm _V \x0d\`rpm _qf 文件名` \x0d\来查询,查询的结果是否正常来判断文件是否完整。在LINUX下使用rpm来检查文件的完整性的方法也很多,这里不一一赘述,可以man \x0d\rpm来获得更多的格式。
维护电脑:
一、首先使用操作系统中自带的工具清理、检测一下磁盘:
①右键点击C盘图标→常规→磁盘清理→清理所有的垃圾(如有提示,修复系统文件)
②C盘属性→工具→查错(务必勾选纠错、坏道两选项)→开始检查→同意重启扫描。
③C盘属性→工具→碎片整理→开始整理→选中C盘→碎片整理(勿开启其他程序)
二、有些电脑开机慢,可以对其清理启动项等操作(一般分为三部分):
①开机过了BIOS有一段很长的黑屏时间(超过五秒)可以将BIOS设为出厂默认值。
找到:Lood setup Defaults 回车确认,保存之后(F10)重启即可还原到出厂默认状态。
②关闭随机启动项,随机启动项开得越多麻烦越多。无论啥程序都可以等到启动完毕再打开的。
原因是这些东东随机启动后,就再也不自动退出来了,占用有限的资源不说,还会互相打架!
A、开始→运行→输入:msconfig 回车打开系统配置实用程序→启动项→禁用无用随机启动项。
B、也可使用第三方软件优化:360安全卫士→优化加速→启动项→选中不要的东东→禁止启动
参考资料:
③过了微软徽标旗(四色方块旗)进入桌面明显慢了:
如果电脑连接在局域网内,默认情况下系统会自动通过DHCP来获得IP地址,但大多数公司的局域网并没有DHCP服务器,因此如果用户设置成“自动获得IP地址”,系统在启动时就会不断在网络中搜索DHCP 服务器,直到获得IP 地址或超时,自然就影响了启动时间,个人用户最好为自己的电脑指定固定IP地址。(已经将相关资料打入Hi之中)
参考资料:
备份操作系统是一个必备的动作,以后电脑异常只要还原一下就可以正常了(比新安装快数倍!)
参考资料:
最后就是定期清理电脑中的尘埃,以免尘埃堵塞通风通道,设备高温会自动保护关机的。
参考资料:
参考资料:
0条评论