如何查看誰在攻擊伺服器

『壹』 如何看linux伺服器是否被攻擊

以下幾種方法檢測linux伺服器是否被攻擊：x0dx0a1、檢查系統密碼文件 x0dx0a首先從明顯的入手，查看一下passwd文件，ls _l /etc/passwd查看文件修改的日期。 x0dx0a2、查看一下進程，看看有沒有奇怪的進程 x0dx0ax0dx0a重點查看進程：ps _aef | grep inetd inetd是UNIX系統的守護進程，正常的inetd的pid都比較靠前，如果看到輸出了一個類似inetd _s x0dx0a/tmp/.xxx之類的進程，著重看inetd x0dx0a_s後面的內容。在正常情況下，LINUX系統中的inetd服務後面是沒有-s參數的，當然也沒有用inetd去啟動某個文件；而solaris系統中x0dx0a也僅僅是inetd x0dx0a_s，同樣沒有用inetd去啟動某個特定的文件；如果使用ps命令看到inetd啟動了某個文件，而自己又沒有用inetd啟動這個文件，那就說明已經有人入侵了系統，並且以root許可權起了一個簡單的後門。x0dx0a3、檢查系統守護進程 x0dx0a檢查/etc/inetd.conf文件，輸入：cat /etc/inetd.conf | grep _v 「^#」，輸出的信息就是這台機器所開啟的遠程服務。 x0dx0a一般入侵者可以通過直接替換in.xxx程序來創建一個後門，比如用/bin/sh 替換掉in.telnetd，然後重新啟動inetd服務，那麼telnet到伺服器上的所有用戶將不用輸入用戶名和密碼而直接獲得一個rootshell。x0dx0a4、檢查網路連接和監聽埠 x0dx0a輸入netstat -an，列出本機所有的連接和監聽的埠，查看有沒有非法連接。 x0dx0a輸入netstat _rn，查看本機的路由、網關設置是否正確。 x0dx0a輸入 ifconfig _a，查看網卡設置。 x0dx0a5、檢查系統日誌 x0dx0a命令last | x0dx0amore查看在正常情況下登錄到本機的所有用戶的歷史記錄。但last命令依賴於syslog進程，這已經成為入侵者攻擊的重要目標。入侵者通常會停止系x0dx0a統的syslog，查看系統syslog進程的情況，判斷syslog上次啟動的時間是否正常，因為syslog是以root身份執行的，如果發現x0dx0asyslog被非法動過，那說明有重大的入侵事件。 x0dx0a在linux下輸入ls _al /var/log x0dx0a檢查wtmp utmp，包括messgae等文件的完整性和修改時間是否正常，這也是手工擦除入侵痕跡的一種方法。 x0dx0a6、檢查系統中的core文件 x0dx0a通過發送畸形請求來攻擊伺服器的某一服務來入侵系統是一種常規的入侵方法，典型的RPC攻擊就是通過這種方式。這種方式有一定的成功率，也就是說並不能x0dx0a100%保證成功入侵系統，而且通常會在伺服器相應目錄下產生core文件，全局查找系統中的core文件，輸入find / -name core x0dx0a_exec ls _l {} \; 依據core所在的目錄、查詢core文件來判斷是否有入侵行為。x0dx0a7、檢查系統文件完整性 x0dx0a檢查文件的完整性有多種方法，通常通過輸入ls _l x0dx0a文件名來查詢和比較文件，這種方法雖然簡單，但還是有一定的實用性。但是如果ls文件都已經被替換了就比較麻煩。在LINUX下可以用rpm _V x0dx0a`rpm _qf 文件名` x0dx0a來查詢，查詢的結果是否正常來判斷文件是否完整。在LINUX下使用rpm來檢查文件的完整性的方法也很多，這里不一一贅述，可以man x0dx0arpm來獲得更多的格式。

『貳』 伺服器被入侵後如何查詢連接IP以及防護措施

面對伺服器被入侵的嚴峻挑戰，我們需要採取一系列措施來追蹤攻擊源頭和防護系統。首要步驟是全面檢查伺服器環境，包括：

1. 檢查伺服器進程是否存在可疑活動，管理員賬號是否被未經授權增加，確認埠安全，避免開啟不必要的埠。

2. 審查伺服器登陸日誌，關注默認啟動項、服務和計劃任務，檢查是否存在木馬後門或病毒跡象。

為了追蹤到攻擊者的外部IP地址，我們需要利用系統日誌進行深入分析。系統日誌記錄了伺服器的所有操作，包括用戶登錄、文件活動和系統事件，通過仔細檢查這些日誌，可以發現異常行為並追蹤到攻擊者。

具體步驟如下：

1. 右擊計算機，選擇「管理」。

2. 打開伺服器管理器，進入「診斷」-「Windows日誌」-「安全」。

3. 將所有安全事件另存為文本文件。

4. 打開生成在桌面的遠程登錄日誌文本文件，搜索客戶端地址。

預防入侵是更關鍵的一步，採用主動防護策略能有效減少損失。德迅衛士提供自適應安全架構，具備實時監控和響應能力，其遠程防護功能可以對遠程桌面登錄進行嚴密監控，防止非法訪問。此功能支持微信認證登錄、手機驗證碼登錄和二級密碼登錄，增加多層防護。

德迅衛士的核心架構由三部分組成：Agent（主機探針）、Engine（安全引擎）和Console（控制中心）。

Agent負責收集主機信息，監控行為並實時與Engine通信，提供全面的系統監控。

Engine作為信息處理中樞，能夠分析並保存從Agent接收到的數據，識別安全風險和異常行為，提供實時預警。

Console作為用戶界面，顯示安全監測結果，並提供集中管理工具，幫助用戶快速處理威脅。

通過這一套系統，德迅衛士能夠預測風險，感知威脅，提高響應效率，保障業務安全。

『叄』 伺服器被攻擊怎麼排查

當伺服器被攻擊時，可以按照以下步驟進行排查：

1. 確定攻擊類型 查看系統日誌：首先檢查系統日誌，分析攻擊者的行為路徑，了解攻擊的具體類型和方式。

2. 關閉不必要服務和埠 減少攻擊面：立即關閉伺服器上不必要的服務和埠，以降低被進一步攻擊的風險。

3. 伺服器整體掃描與漏洞修復 全面掃描：使用專業的掃描工具對伺服器進行全面掃描，檢測存在的安全漏洞。 及時打補丁：針對掃描發現的漏洞，及時安裝相應的補丁進行修復。 檢查影子賬戶：查看系統中是否存在非授權的賬戶，這些賬戶可能是攻擊者留下的後門。 內容檢查：檢查伺服器上的文件內容是否被篡改，確保數據的完整性。

4. 重置賬戶密碼與許可權設置 復雜密碼：為所有賬戶設置復雜且獨特的密碼，增加攻擊者破解的難度。 許可權管理：根據最小許可權原則，重新配置賬戶許可權，確保每個賬戶只能訪問其所需的資源。

5. 升級安全軟體與設置防護參數 升級安全軟體：確保伺服器上的安全軟體為最新版本，以提供最新的防護能力。 重新設置防護參數：根據當前的安全環境，重新配置安全軟體的防護參數，以提高防護效果。 考慮使用專業防護工具：如伺服器上未安裝防護軟體，可考慮使用如「伺服器安全狗」和「網站安全狗」等工具進行防護。同時，將伺服器添加到安全狗服雲平台上，以便在攻擊發生時能夠迅速響應和處理。

通過以上步驟，可以有效地排查和處理伺服器被攻擊的情況，確保伺服器的安全性和穩定性。

『肆』 如何在Linux上用命令查詢是否被DDOS攻擊

伺服器出現緩慢的狀況可能由很多事情導致，比如錯誤的配置，腳本和差的硬體。但是有時候它可能因為有人對你的伺服器用DoS或者DDoS進行洪水攻擊。
如何在Linux上使用netstat命令查證DDOS攻擊
DoS攻擊或者DDoS攻擊是試圖讓機器或者網路資源不可用的攻擊。這種攻擊的攻擊目標網站或者服務通常是託管在高防伺服器比如銀行，信用卡支付網管，甚至根域名伺服器，DOS攻擊的實施通常迫使目標重啟計算機或者消耗資源，使他們不再提供服務或者妨礙用戶，訪客訪問。
在這篇小文章中，你可以知道在受到攻擊之後如何在終端中使用netstat命令檢查你的伺服器。
一些例子和解釋
netstat -na顯示所有連接到伺服器的活躍的網路連接netstat -an | grep :80 | sort只顯示連接到80段口的活躍的網路連接,80是http埠,這對於web伺服器非常有用,並且對結果排序.對於你從許多的連接中找出單個發動洪水攻擊IP非常有用netstat -n -p|grep SYN_REC | wc -l這個命令對於在伺服器上找出活躍的SYNC_REC非常有用,數量應該很低,最世譽滲好少於5.在dos攻擊和郵件炸彈,這個數字可能非常高.然而值通常依賴於系統,所以高的值可能平分給另外的伺服器.netstat -n -p | grep SYN_REC | sort -u列出所有包含的IP地址而不僅僅是計數.netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'列出所有不同的IP地址節點發送SYN_REC的連接狀態netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n使用netstat命令來計算每個IP地址對虛亂伺服器的連接數量netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n列出使用tcp和udp連接到伺服器的數目netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr檢查ESTABLISHED連接而不是所有連接,這可以每個ip的連接數netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1顯示並且列出連接到80埠IP地址和連接數.80被用來作為HTTP
如何緩解DDoS攻擊
當你發現攻擊你伺服器的IP你可以使用下面的命令來關閉他們的連接：
iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT
請注意你必須用你使用netstat命令找到的IP數替換$IPADRESS
在完成搜脊以上的命令，使用下面的命令殺掉所有httpd連接，清除你的系統，然後重啟httpd服務。
killall -KILL httpd service httpd start #For Red Hat systems /etc/init/d/apache2 restar

Linux系統用netstat命令查看DDOS攻擊具體命令用法如下：

代碼如下:netstat -na
顯示所有連接到伺服器的活躍的網路連接

代碼如下:netstat -an | grep :80 | sort
只顯示連接到80段口的活躍的網路連接,80是http埠,這對於web伺服器非常有用,並且對結果排序.對於你從許多的連接中找出單個發動洪水攻擊IP非常有用

代碼如下:netstat -n -p|grep SYN_REC | wc -l
這個命令對於在伺服器上找出活躍的SYNC_REC非常有用,數量應該很低,最好少於5.
在dos攻擊和郵件炸彈,這個數字可能非常高.然而值通常依賴於系統,所以高的值可能平分給另外的伺服器.

代碼如下:netstat -n -p | grep SYN_REC | sort -u
列出所有包含的IP地址而不僅僅是計數.

代碼如下:netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'
列出所有不同的IP地址節點發送SYN_REC的連接狀態

代碼如下:netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
使用netstat命令來計算每個IP地址對伺服器的連接數量

代碼如下:netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
列出使用tcp和udp連接到伺服器的數目

代碼如下:netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr
檢查ESTABLISHED連接而不是所有連接,這可以每個ip的連接數

代碼如下:netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1
顯示並且列出連接到80埠IP地址和連接數.80被用來作為HTTP
如何緩解ddos攻擊
當你發現攻擊你伺服器的IP你可以使用下面的命令來關閉他們的連接：

代碼如下:iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT
請注意你必須用你使用netstat命令找到的IP數替換$IPADRESS