云服務(wù)器怎么樣查看有沒有被攻擊

云服務(wù)器怎么樣查看有沒有被攻擊？針對這個(gè)問題，這篇文章詳細(xì)介紹了相對應(yīng)的分析和解答，希望可以幫助更多想解決這個(gè)問題的小伙伴找到更簡單易行的方法。

如何判斷自己的服務(wù)器是否被入侵了，這里以LINUX和solaris為例，來看看UNIX系統(tǒng)上一些入侵檢測方法。

檢查系統(tǒng)密碼文件

首先從明顯的入手，查看一下passwd文件，查看文件修改的日期。檢查一下passwd文件中有哪些特權(quán)用戶，云服務(wù)器系統(tǒng)中uid為0的用戶都會被顯示出來。

查看有無奇怪的進(jìn)程

inetd是UNIX系統(tǒng)的守護(hù)進(jìn)程，正常的inetd的pid都比較靠前，如果你看到輸出了一個(gè)類似inetd –s /tmp/.xxx之類的進(jìn)程，著重看inetd –s后面的內(nèi)容。UNIX下隱藏進(jìn)程，有的時(shí)候通過替換ps文件來做，檢測這種方法涉及到檢查文件完整性。

檢查系統(tǒng)守護(hù)進(jìn)程

一般入侵者可以通過直接替換in.xxx程序來創(chuàng)建一個(gè)后門，比如用/bin/sh 替換掉in.telnetd，然后重新啟動(dòng)inetd服務(wù)，那么telnet到服務(wù)器上的所有用戶，將不用輸入用戶名和密碼而直接獲得一個(gè)rootshell。

檢查系統(tǒng)日志

命令last | more查看在正常情況下，登錄到本機(jī)的所有用戶的歷史記錄。但last命令依賴于syslog進(jìn)程，這已經(jīng)成為入侵者攻擊的重要目標(biāo)。入侵者通常會停止系統(tǒng)的syslog，查看系統(tǒng)syslog進(jìn)程的情況，判斷syslog上次啟動(dòng)的時(shí)間是否正常，因?yàn)閟yslog是以root身份執(zhí)行的，如果發(fā)現(xiàn)syslog被非法動(dòng)過，那說明有重大的入侵事件。

檢查系統(tǒng)中的core文件

通過發(fā)送畸形請求來攻擊服務(wù)器的某一服務(wù)來入侵系統(tǒng)，是一種常規(guī)的入侵方法，典型的RPC攻擊就是通過這種方式。這種方式有一定的成功率，也就是說它并不能100%保證成功入侵系統(tǒng)，而且通常會在服務(wù)器相應(yīng)目錄下產(chǎn)生core文件，全局查找系統(tǒng)中的core文件，依據(jù)core所在的目錄、查詢core文件來判斷是否有入侵行為。

關(guān)于云服務(wù)器怎么樣查看有沒有被攻擊問題的解答就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關(guān)注億速云行業(yè)資訊頻道了解更多相關(guān)知識。