如何查看谁在攻击服务器

‘壹’ 如何看linux服务器是否被攻击

以下几种方法检测linux服务器是否被攻击：x0dx0a1、检查系统密码文件 x0dx0a首先从明显的入手，查看一下passwd文件，ls _l /etc/passwd查看文件修改的日期。 x0dx0a2、查看一下进程，看看有没有奇怪的进程 x0dx0ax0dx0a重点查看进程：ps _aef | grep inetd inetd是UNIX系统的守护进程，正常的inetd的pid都比较靠前，如果看到输出了一个类似inetd _s x0dx0a/tmp/.xxx之类的进程，着重看inetd x0dx0a_s后面的内容。在正常情况下，LINUX系统中的inetd服务后面是没有-s参数的，当然也没有用inetd去启动某个文件；而solaris系统中x0dx0a也仅仅是inetd x0dx0a_s，同样没有用inetd去启动某个特定的文件；如果使用ps命令看到inetd启动了某个文件，而自己又没有用inetd启动这个文件，那就说明已经有人入侵了系统，并且以root权限起了一个简单的后门。x0dx0a3、检查系统守护进程 x0dx0a检查/etc/inetd.conf文件，输入：cat /etc/inetd.conf | grep _v “^#”，输出的信息就是这台机器所开启的远程服务。 x0dx0a一般入侵者可以通过直接替换in.xxx程序来创建一个后门，比如用/bin/sh 替换掉in.telnetd，然后重新启动inetd服务，那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。x0dx0a4、检查网络连接和监听端口 x0dx0a输入netstat -an，列出本机所有的连接和监听的端口，查看有没有非法连接。 x0dx0a输入netstat _rn，查看本机的路由、网关设置是否正确。 x0dx0a输入 ifconfig _a，查看网卡设置。 x0dx0a5、检查系统日志 x0dx0a命令last | x0dx0amore查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程，这已经成为入侵者攻击的重要目标。入侵者通常会停止系x0dx0a统的syslog，查看系统syslog进程的情况，判断syslog上次启动的时间是否正常，因为syslog是以root身份执行的，如果发现x0dx0asyslog被非法动过，那说明有重大的入侵事件。 x0dx0a在linux下输入ls _al /var/log x0dx0a检查wtmp utmp，包括messgae等文件的完整性和修改时间是否正常，这也是手工擦除入侵痕迹的一种方法。 x0dx0a6、检查系统中的core文件 x0dx0a通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法，典型的RPC攻击就是通过这种方式。这种方式有一定的成功率，也就是说并不能x0dx0a100%保证成功入侵系统，而且通常会在服务器相应目录下产生core文件，全局查找系统中的core文件，输入find / -name core x0dx0a_exec ls _l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为。x0dx0a7、检查系统文件完整性 x0dx0a检查文件的完整性有多种方法，通常通过输入ls _l x0dx0a文件名来查询和比较文件，这种方法虽然简单，但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在LINUX下可以用rpm _V x0dx0a`rpm _qf 文件名` x0dx0a来查询，查询的结果是否正常来判断文件是否完整。在LINUX下使用rpm来检查文件的完整性的方法也很多，这里不一一赘述，可以man x0dx0arpm来获得更多的格式。

‘贰’ 服务器被入侵后如何查询连接IP以及防护措施

面对服务器被入侵的严峻挑战，我们需要采取一系列措施来追踪攻击源头和防护系统。首要步骤是全面检查服务器环境，包括：

1. 检查服务器进程是否存在可疑活动，管理员账号是否被未经授权增加，确认端口安全，避免开启不必要的端口。

2. 审查服务器登陆日志，关注默认启动项、服务和计划任务，检查是否存在木马后门或病毒迹象。

为了追踪到攻击者的外部IP地址，我们需要利用系统日志进行深入分析。系统日志记录了服务器的所有操作，包括用户登录、文件活动和系统事件，通过仔细检查这些日志，可以发现异常行为并追踪到攻击者。

具体步骤如下：

1. 右击计算机，选择“管理”。

2. 打开服务器管理器，进入“诊断”-“Windows日志”-“安全”。

3. 将所有安全事件另存为文本文件。

4. 打开生成在桌面的远程登录日志文本文件，搜索客户端地址。

预防入侵是更关键的一步，采用主动防护策略能有效减少损失。德迅卫士提供自适应安全架构，具备实时监控和响应能力，其远程防护功能可以对远程桌面登录进行严密监控，防止非法访问。此功能支持微信认证登录、手机验证码登录和二级密码登录，增加多层防护。

德迅卫士的核心架构由三部分组成：Agent（主机探针）、Engine（安全引擎）和Console（控制中心）。

Agent负责收集主机信息，监控行为并实时与Engine通信，提供全面的系统监控。

Engine作为信息处理中枢，能够分析并保存从Agent接收到的数据，识别安全风险和异常行为，提供实时预警。

Console作为用户界面，显示安全监测结果，并提供集中管理工具，帮助用户快速处理威胁。

通过这一套系统，德迅卫士能够预测风险，感知威胁，提高响应效率，保障业务安全。

‘叁’ 服务器被攻击怎么排查

当服务器被攻击时，可以按照以下步骤进行排查：

1. 确定攻击类型 查看系统日志：首先检查系统日志，分析攻击者的行为路径，了解攻击的具体类型和方式。

2. 关闭不必要服务和端口 减少攻击面：立即关闭服务器上不必要的服务和端口，以降低被进一步攻击的风险。

3. 服务器整体扫描与漏洞修复 全面扫描：使用专业的扫描工具对服务器进行全面扫描，检测存在的安全漏洞。 及时打补丁：针对扫描发现的漏洞，及时安装相应的补丁进行修复。 检查影子账户：查看系统中是否存在非授权的账户，这些账户可能是攻击者留下的后门。 内容检查：检查服务器上的文件内容是否被篡改，确保数据的完整性。

4. 重置账户密码与权限设置 复杂密码：为所有账户设置复杂且独特的密码，增加攻击者破解的难度。 权限管理：根据最小权限原则，重新配置账户权限，确保每个账户只能访问其所需的资源。

5. 升级安全软件与设置防护参数 升级安全软件：确保服务器上的安全软件为最新版本，以提供最新的防护能力。 重新设置防护参数：根据当前的安全环境，重新配置安全软件的防护参数，以提高防护效果。 考虑使用专业防护工具：如服务器上未安装防护软件，可考虑使用如“服务器安全狗”和“网站安全狗”等工具进行防护。同时，将服务器添加到安全狗服云平台上，以便在攻击发生时能够迅速响应和处理。

通过以上步骤，可以有效地排查和处理服务器被攻击的情况，确保服务器的安全性和稳定性。

‘肆’ 如何在Linux上用命令查询是否被DDOS攻击

服务器出现缓慢的状况可能由很多事情导致，比如错误的配置，脚本和差的硬件。但是有时候它可能因为有人对你的服务器用DoS或者DDoS进行洪水攻击。
如何在Linux上使用netstat命令查证DDOS攻击
DoS攻击或者DDoS攻击是试图让机器或者网络资源不可用的攻击。这种攻击的攻击目标网站或者服务通常是托管在高防服务器比如银行，信用卡支付网管，甚至根域名服务器，DOS攻击的实施通常迫使目标重启计算机或者消耗资源，使他们不再提供服务或者妨碍用户，访客访问。
在这篇小文章中，你可以知道在受到攻击之后如何在终端中使用netstat命令检查你的服务器。
一些例子和解释
netstat -na显示所有连接到服务器的活跃的网络连接netstat -an | grep :80 | sort只显示连接到80段口的活跃的网络连接,80是http端口,这对于web服务器非常有用,并且对结果排序.对于你从许多的连接中找出单个发动洪水攻击IP非常有用netstat -n -p|grep SYN_REC | wc -l这个命令对于在服务器上找出活跃的SYNC_REC非常有用,数量应该很低,最世誉渗好少于5.在dos攻击和邮件炸弹,这个数字可能非常高.然而值通常依赖于系统,所以高的值可能平分给另外的服务器.netstat -n -p | grep SYN_REC | sort -u列出所有包含的IP地址而不仅仅是计数.netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'列出所有不同的IP地址节点发送SYN_REC的连接状态netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n使用netstat命令来计算每个IP地址对虚乱服务器的连接数量netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n列出使用tcp和udp连接到服务器的数目netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr检查ESTABLISHED连接而不是所有连接,这可以每个ip的连接数netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1显示并且列出连接到80端口IP地址和连接数.80被用来作为HTTP
如何缓解DDoS攻击
当你发现攻击你服务器的IP你可以使用下面的命令来关闭他们的连接：
iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT
请注意你必须用你使用netstat命令找到的IP数替换$IPADRESS
在完成搜脊以上的命令，使用下面的命令杀掉所有httpd连接，清除你的系统，然后重启httpd服务。
killall -KILL httpd service httpd start #For Red Hat systems /etc/init/d/apache2 restar

Linux系统用netstat命令查看DDOS攻击具体命令用法如下：

代码如下:netstat -na
显示所有连接到服务器的活跃的网络连接

代码如下:netstat -an | grep :80 | sort
只显示连接到80段口的活跃的网络连接,80是http端口,这对于web服务器非常有用,并且对结果排序.对于你从许多的连接中找出单个发动洪水攻击IP非常有用

代码如下:netstat -n -p|grep SYN_REC | wc -l
这个命令对于在服务器上找出活跃的SYNC_REC非常有用,数量应该很低,最好少于5.
在dos攻击和邮件炸弹,这个数字可能非常高.然而值通常依赖于系统,所以高的值可能平分给另外的服务器.

代码如下:netstat -n -p | grep SYN_REC | sort -u
列出所有包含的IP地址而不仅仅是计数.

代码如下:netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'
列出所有不同的IP地址节点发送SYN_REC的连接状态

代码如下:netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
使用netstat命令来计算每个IP地址对服务器的连接数量

代码如下:netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
列出使用tcp和udp连接到服务器的数目

代码如下:netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr
检查ESTABLISHED连接而不是所有连接,这可以每个ip的连接数

代码如下:netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1
显示并且列出连接到80端口IP地址和连接数.80被用来作为HTTP
如何缓解ddos攻击
当你发现攻击你服务器的IP你可以使用下面的命令来关闭他们的连接：

代码如下:iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT
请注意你必须用你使用netstat命令找到的IP数替换$IPADRESS