服务器被攻击检查问题一般流程
2017-03-07 15:20
281 查看
服务器被攻击检查问题一般流程
一、用root用户登录,然后 w 命令列出最近登录的用户
#passwd -l nobody(这个为可疑用户登录名)
查看是否现在依然登录
#ps -ef"grep @pts/3
531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3
#删除进程
# kill -9 6051
二、通过last命令查看用户登录事件
#last
命令的输出结果来源于/var/log/wtmp文件
三、查看系统日志
/var/log/messages、/var/log/secure
每个用户目录下的.bash_history文件
特别是/root目录下的.bash_history文件,
四、检查并关闭系统可疑进程
ps、top检查可疑进程
使用pidof命令查看运行进程的Pid pidof sshd 13276 12942 4284进入
然后进入内存目录,查看对应PID目录下exe文件的信息 ls -al /proc/13276/exe 然后可以看到该进程对应的完整执行路径。
查看文件句柄
五、查看文件是否被改动
对文件系统的检查也可以通过chkrootkit、RKHunter这两个工具来完成
杀进程:
kill
法一、
ps -ef | grep httpd kill -9 PID
法二 、 killall httpd
一、用root用户登录,然后 w 命令列出最近登录的用户
#passwd -l nobody(这个为可疑用户登录名)
查看是否现在依然登录
#ps -ef"grep @pts/3
531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3
#删除进程
# kill -9 6051
二、通过last命令查看用户登录事件
#last
命令的输出结果来源于/var/log/wtmp文件
三、查看系统日志
/var/log/messages、/var/log/secure
每个用户目录下的.bash_history文件
特别是/root目录下的.bash_history文件,
四、检查并关闭系统可疑进程
ps、top检查可疑进程
使用pidof命令查看运行进程的Pid pidof sshd 13276 12942 4284进入
然后进入内存目录,查看对应PID目录下exe文件的信息 ls -al /proc/13276/exe 然后可以看到该进程对应的完整执行路径。
查看文件句柄
五、查看文件是否被改动
对文件系统的检查也可以通过chkrootkit、RKHunter这两个工具来完成
杀进程:
kill
法一、
ps -ef | grep httpd kill -9 PID
法二 、 killall httpd
相关文章推荐
- WinNT2k服务器一般攻击攻击过程!
- 今天我在IIS里发布网站,遇到了4个问题,将其解答发出来,顺便可以作为发布网站的一般检查步骤
- 答辩的一般流程、技巧和常见问题
- 网络化oracle配置的一般流程及常见问题解决方法
- 服务器遭受攻击后的一般处理过程
- 有关SQL服务器被攻击的问题
- 服务器亮黄灯问题检查方法
- 阿里云官方推荐《服务器遭受攻击后的处理流程》
- 面试的一般流程及其常见的问题
- 机器学习入门报告之 解决问题一般工作流程
- 关于EAS BOS 双击消息中心弹出对话框提示 获取的单据编辑界面不正确,请检查元数据等,造成打不开流程审批界面问题
- 浅谈服务器被黑后的检查工作流程
- php中检查服务器问题
- 安全运维之:服务器遭受攻击后的一般处理过程
- 安全运维之:服务器遭受攻击后的一般处理过程
- 通过自己的IP或localhost却不访问到本地服务器(同时装有SQL2000与SQL2005服务器一般出现的问题)
- 浅谈服务器被黑后的检查工作流程
- 安全运维之:服务器遭受攻击后的一般处理过程
- openstack虚拟机问题处理一般流程
- 继 博客园 服务器被攻击后,我司也出现这样问题