Linux云服務(wù)器入侵如何排查

檢查當(dāng)前登錄用戶

輸入w或者who，就可以看到當(dāng)前只有一個用戶登錄，正常情況下只有你一個人登錄，如果不是一個最好排查下。

檢查網(wǎng)絡(luò)連接

netstat -anp命令查看當(dāng)前網(wǎng)絡(luò)連接，如果沒有netstat，就安裝一下sudo apt install net-tools再查看

檢查22,445,3389,6379等常見端口是否異常連接，檢查connect連接的地址是否為國外或者云廠商的ip，可以在微步或者其它的情報平臺，查詢該ip的信息

檢查進(jìn)程

ps -ef 檢查進(jìn)程，是否有異常，遇到不懂的進(jìn)程可以上網(wǎng)查一下，從netstat中無法判斷的連接也可以通過進(jìn)程id查看相應(yīng)進(jìn)程信息ps -ef|grep id,定位相關(guān)文件，分析文件是否有惡意行為，或者之間上傳virustotal等在線檢測平臺檢查文件是否有害。

檢查歷史命令

.bash_history記錄了輸入過的命令，可以檢查是否有不是自己輸入的命令

檢查賬號信息

/etc/passwd查看賬號信息

檢查定時任務(wù)

crontab -l

檢查登錄日志

執(zhí)行l(wèi)ast或者lastlog查看用戶最近登錄日志

查看ssh登錄日志，是否有大量的登錄失敗信息