服务器被攻击检查问题一般流程

服务器被攻击检查问题一般流程

一、用root用户登录,然后 w 命令列出最近登录的用户

#passwd -l nobody(这个为可疑用户登录名)

查看是否现在依然登录

#ps -ef"grep @pts/3

531 6051 6049 0 19:23 ? 00:00:00 sshd: [email protected]/3

#删除进程

# kill -9 6051

二、通过last命令查看用户登录事件

#last 命令的输出结果来源于/var/log/wtmp文件

三、查看系统日志

/var/log/messages、/var/log/secure

每个用户目录下的.bash_history文件

特别是/root目录下的.bash_history文件,

四、检查并关闭系统可疑进程

ps、top检查可疑进程

使用pidof命令查看运行进程的Pid pidof sshd 13276 12942 4284进入

然后进入内存目录,查看对应PID目录下exe文件的信息 ls -al /proc/13276/exe 然后可以看到该进程对应的完整执行路径。

查看文件句柄

五、查看文件是否被改动

对文件系统的检查也可以通过chkrootkit、RKHunter这两个工具来完成

杀进程:

kill

法一、 ps -ef | grep httpd kill -9 PID

法二 、 killall httpd