魔扣论坛

魔扣源码论坛业务
查看: 36|回复: 2

服务器被攻击检查问题一般流程

[复制链接]
  • TA的每日心情
    开心
    前天 10:05
  • 签到天数: 38 天

    [LV.5]经常留意

    34

    主题

    35

    帖子

    268

    积分

    中级魔扣

    Rank: 3Rank: 3

    魔扣币
    561
    贡献
    145
    威望
    18
    发表于 2019-9-4 09:47:40 | 显示全部楼层 |阅读模式
    魔扣币兑换比例:【 50以下 : ¥1 = 10 魔扣币 】丨【 50 - 100 :¥1 = 20 魔扣币】丨【 100以上:¥1 = 30 魔扣币 】
    淘宝、天猫优惠券

    本帖子中包含更多资源

    您需要 登录 才可以下载或查看,没有帐号?立即注册

    x
    服务器被攻击检查问题一般流程
    一、用root用户登录,然后 w 命令列出最近登录的用户
    #passwd -l nobody(这个为可疑用户登录名)
    查看是否现在依然登录
    #ps -ef"grep @pts/3
    531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3
    #删除进程
    # kill -9 6051
    二、通过last命令查看用户登录事件
    #last 命令的输出结果来源于/var/log/wtmp文件
    三、查看系统日志
    /var/log/messages、/var/log/secure
    每个用户目录下的.bash_history文件
    特别是/root目录下的.bash_history文件,
    四、检查并关闭系统可疑进程
    ps、top检查可疑进程
    使用pidof命令查看运行进程的Pid pidof sshd 13276 12942 4284进入
    然后进入内存目录,查看对应PID目录下exe文件的信息 ls -al /proc/13276/exe 然后可以看到该进程对应的完整执行路径。
    查看文件句柄
    五、查看文件是否被改动
    对文件系统的检查也可以通过chkrootkit、RKHunter这两个工具来完成
    杀进程:
    kill
    法一、 ps -ef | grep httpd kill -9 PID
    法二 、 killall httpd
    需要韩国服务器联 Q298830682

    该用户从未签到

    2

    主题

    196

    帖子

    390

    积分

    中级魔扣

    Rank: 3Rank: 3

    魔扣币
    194
    贡献
    194
    威望
    0
    发表于 2019-9-4 09:47:49 | 显示全部楼层
    真心的祝福你:开心每一天,快乐每一刻,好运永远与你相伴!真诚希望你每一个今天都过得幸福!魔扣源码论坛更希望你每一个明天都能比今天还快乐!

    该用户从未签到

    2

    主题

    194

    帖子

    386

    积分

    中级魔扣

    Rank: 3Rank: 3

    魔扣币
    192
    贡献
    192
    威望
    0
    发表于 7 天前 来自手机 | 显示全部楼层
    啊啊啊啊啊啊啊啊啊啊啊
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    • 联系我们
    • 新浪微博 :
    • 在线客服 :魔扣科技 
    • 源码QQ群 :魔扣源码论坛官方总群
    • 联系邮箱 :charlin#morko.net
    • 微信扫一扫
    快速回复 返回顶部 返回列表