Linux云服务器入侵如何排查

这篇“Linux云服务器入侵如何排查”文章的知识点大部分人都不太理解，所以小编给大家总结了以下内容，内容详细，步骤清晰，具有一定的借鉴价值，希望大家阅读完这篇文章能有所收获，下面我们一起来看看这篇“Linux云服务器入侵如何排查”文章吧。

检查当前登录用户

输入w或者who，就可以看到当前只有一个用户登录，正常情况下只有你一个人登录，如果不是一个最好排查下。

检查网络连接

netstat -anp命令查看当前网络连接，如果没有netstat，就安装一下sudo apt install net-tools再查看

检查22,445,3389,6379等常见端口是否异常连接，检查connect连接的地址是否为国外或者云厂商的ip，可以在微步或者其它的情报平台，查询该ip的信息

检查进程

ps -ef 检查进程，是否有异常，遇到不懂的进程可以上网查一下，从netstat中无法判断的连接也可以通过进程id查看相应进程信息ps -ef|grep id,定位相关文件，分析文件是否有恶意行为，或者之间上传virustotal等在线检测平台检查文件是否有害。

检查历史命令

.bash_history记录了输入过的命令，可以检查是否有不是自己输入的命令

检查账号信息

/etc/passwd查看账号信息

检查定时任务

crontab -l

检查登录日志

执行last或者lastlog查看用户最近登录日志

查看ssh登录日志，是否有大量的登录失败信息

以上就是关于“Linux云服务器入侵如何排查”这篇文章的内容，相信大家都有了一定的了解，希望小编分享的内容对大家有帮助，若想了解更多相关的知识内容，请关注亿速云行业资讯频道。