服务器被黑迹象排查指南
1. 检查异常登录活动
通过last命令查看最近登录记录,关注非工作时间段的登录行为。检查/var/log/auth.log中的失败登录尝试,发现大量失败记录可能预示暴力破解攻击。建议:
- 核查所有SSH登录IP的地理位置
- 禁用root账户远程登录
- 启用双因素认证机制
2. 分析系统进程与资源
使用ps aux和top命令排查异常进程,特别关注:
- 未签名的二进制文件进程
- 长期占用高CPU/内存的未知进程
- 伪装成系统服务的恶意程序
建议定期对比基线进程列表,使用chkconfig检查异常服务。
3. 监控网络连接状态
通过netstat -tulnp检测可疑连接,重点关注:
- 非常用端口的TCP/UDP连接
- 与境外IP的异常通信
- 未授权的出站流量
大量ESTABLISHED状态连接、重复访问非常用端口、通信流量呈脉冲式波动
4. 检查文件完整性
使用find / -mtime -3查找三天内修改的文件,特别注意:
- /tmp、/dev/shm等临时目录
- 系统配置文件(如/etc/passwd)
- 隐藏的二进制文件
建议安装AIDE等完整性检测工具,建立文件系统基线。
5. 验证用户与权限
检查/etc/passwd和/etc/shadow是否存在:
- 未授权的特权账户
- UID为0的非root账户
- 密码哈希异常的账户
定期审计sudoers文件,使用lastlog验证账户最后登录时间。
本文由阿里云优惠网发布。发布者:编辑员。禁止采集与转载行为,违者必究。出处:https://aliyunyh.com/696373.html
其原创性以及文中表达的观点和判断不代表本网站。如有问题,请联系客服处理。
