怎麼查伺服器被打的
『壹』 想知道如何查看伺服器是否被ddos攻擊
1.命令行法。
2.批處理法。
上述方法需要手工輸入命令且如果Web伺服器ip連接太多看起來比較費勁,我們可以建立一個批處理文件,
3.查看系統日誌。
上面的DDOS攻擊軟體兩種方法有個弊端,只可以查看當前的DDOS攻擊軟體CC攻擊,對於確定Web伺服器之前
您好以上方法都檢測是否被攻擊的,如果受到攻擊的話,最好能使用高防伺服器。群英高防不錯的
『貳』 怎麼樣查看我的伺服器是否被攻擊
如果是在iptables中查看,好像有一個log選項可以記錄一些事件到log中。
不過我一般採用的方法是看/var/log/secure,如果有一些來路不明的IP在很有頻率地嘗試登錄,而且出現大量用戶名密碼出錯以及認證錯誤的信息,那麼估計就有人在打你的主意了。
『叄』 怎麼查看伺服器被入侵
1、入侵者入侵後一般會開伺服器的3389,建立隱藏用戶,然後登錄。我們只要到c:documents
and
settings這個目錄下看看是否有可以的用戶名就可以了,不管是不是隱藏的用戶,都會在這里顯示出來。
2、有些入侵者喜歡留一個有高許可權的sqlserver資料庫用戶,當作後門,我們可以打開登陸sqlserver的查詢分析器,然後依次打開master--系統表--dbo.sysxlogins(sqlserver2000下,sql2005和2008下,小王沒找到如何查看資料庫用戶的方法,如果您知道請指點),在這個窗口的name列中可以看到sqlserver資料庫的用戶,一般情況下會有3個用戶,一個是sa,一個builtinadministrators,還有一個是null,如果還存在其他用戶,就有可能是被人入侵了或者是我上面講的那些情況,就需要注意點了,當然不一定就那三個用戶,小王還見過name下有多個sa和null的,但不知道是怎麼回事,具體問題還需要具體分析。
『肆』 如何查看伺服器是否被ddos攻擊
先看下網站能不能打開,然後讓伺服器運營商在埠查看下流量的異常情況。具體加下 口吧,320006167
『伍』 如何看linux伺服器是否被攻擊
以下幾種方法檢測linux伺服器是否被攻擊:
1、檢查系統密碼文件
首先從明顯的入手,查看一下passwd文件,ls –l /etc/passwd查看文件修改的日期。
2、查看一下進程,看看有沒有奇怪的進程
重點查看進程:ps –aef | grep inetd inetd是UNIX系統的守護進程,正常的inetd的pid都比較靠前,如果看到輸出了一個類似inetd –s
/tmp/.xxx之類的進程,著重看inetd
–s後面的內容。在正常情況下,LINUX系統中的inetd服務後面是沒有-s參數的,當然也沒有用inetd去啟動某個文件;而solaris系統中
也僅僅是inetd
–s,同樣沒有用inetd去啟動某個特定的文件;如果使用ps命令看到inetd啟動了某個文件,而自己又沒有用inetd啟動這個文件,那就說明已經有人入侵了系統,並且以root許可權起了一個簡單的後門。
3、檢查系統守護進程
檢查/etc/inetd.conf文件,輸入:cat /etc/inetd.conf | grep –v 「^#」,輸出的信息就是這台機器所開啟的遠程服務。
一般入侵者可以通過直接替換in.xxx程序來創建一個後門,比如用/bin/sh 替換掉in.telnetd,然後重新啟動inetd服務,那麼telnet到伺服器上的所有用戶將不用輸入用戶名和密碼而直接獲得一個rootshell。
4、檢查網路連接和監聽埠
輸入netstat -an,列出本機所有的連接和監聽的埠,查看有沒有非法連接。
輸入netstat –rn,查看本機的路由、網關設置是否正確。
輸入 ifconfig –a,查看網卡設置。
5、檢查系統日誌
命令last |
more查看在正常情況下登錄到本機的所有用戶的歷史記錄。但last命令依賴於syslog進程,這已經成為入侵者攻擊的重要目標。入侵者通常會停止系
統的syslog,查看系統syslog進程的情況,判斷syslog上次啟動的時間是否正常,因為syslog是以root身份執行的,如果發現
syslog被非法動過,那說明有重大的入侵事件。
在linux下輸入ls –al /var/log
檢查wtmp utmp,包括messgae等文件的完整性和修改時間是否正常,這也是手工擦除入侵痕跡的一種方法。
6、檢查系統中的core文件
通過發送畸形請求來攻擊伺服器的某一服務來入侵系統是一種常規的入侵方法,典型的RPC攻擊就是通過這種方式。這種方式有一定的成功率,也就是說並不能
100%保證成功入侵系統,而且通常會在伺服器相應目錄下產生core文件,全局查找系統中的core文件,輸入find / -name core
–exec ls –l {} \; 依據core所在的目錄、查詢core文件來判斷是否有入侵行為。
7、檢查系統文件完整性
檢查文件的完整性有多種方法,通常通過輸入ls –l
文件名來查詢和比較文件,這種方法雖然簡單,但還是有一定的實用性。但是如果ls文件都已經被替換了就比較麻煩。在LINUX下可以用rpm –V
`rpm –qf 文件名`
來查詢,查詢的結果是否正常來判斷文件是否完整。在LINUX下使用rpm來檢查文件的完整性的方法也很多,這里不一一贅述,可以man
rpm來獲得更多的格式。
『陸』 怎麼檢查網站伺服器是否被入侵
網站伺服器是否遭到侵略也可以終究靠以下幾個過程進行承認:
第一步:查看體系組及用戶。假設發現administrators組內增加一個admin$或相類似的用戶,或許性你的網站就已遭到了侵略;
第二步:查看管理員賬戶是否存在反常的登錄和刊出記載
挑選一切體系登錄日記及體系刊出日記,並具體查看其登錄ip,核實該ip是否為常用的管理員登錄ip;
第三步:查看伺服器是否存在反常啟動項
上面三個過程任何一個過程呈現了反常都有或許是因為伺服器遭到了侵略。
網站伺服器遭受侵略應該怎麼處理
1.暫時封閉網站
網站被侵略之後,最常見的狀況便是被植入木馬,為了確保訪問者的安全,一般都要把網站暫時封閉。在封閉過程中可以把域名暫時轉到別的一個網站或許一個告訴頁面。
2.剖析網站受損程度
有些黑客侵略了網站之後會把一切的網站數據都清空,假設有數據備份的站點可以終究靠數據備份康復網站數據,假設沒有備份的則需要請專業硬碟數據康復公司進行數據康復。假設網站的頁面數據沒有發生什麼改變,則網站或許僅僅是被掛馬了,可以終究靠第三四個過程消除影響。
3.檢測縫隙並打補丁
數據康復之後一定要掃描網站的縫隙並進行打補丁處理。一般的網站程序官方都會定時推出相關的補丁文件,只要把文件上傳到伺服器並掩蓋之即可。
4.木馬病毒鏟除
木馬病毒可以終究靠專業的殺毒軟體進行查殺。在這里必需要分外留意的是,有時候有些正常的文件都會被誤判為病毒,這樣一個時間段就需要用戶自己細心辨認之了。
5.常常備份數據
重要的數據經常備份
6.建議可以聯署一些防入侵,篡改的防護產品
『柒』 怎樣查看伺服器是否被攻擊
DDOS攻擊,直接找機房要流量圖就看得到。把伺服器ip打掛了,連接不上伺服器,不通了。
cc攻擊:cpu變得很高,操作很卡,可以先讓伺服器商分析下,進伺服器里看下,現在很多伺服器安全軟體,市面有雲盾,金盾,cdn等各種防護軟體。
『捌』 如何查看伺服器是否被攻擊
DDOS攻擊,直接找機房要流量圖就看得到。把伺服器ip打掛了,連接不上伺服器,不通了。
cc攻擊:cpu變得很高,操作很卡,可以先讓伺服器商分析下,進伺服器里看下,現在很多伺服器安全軟體,市面有雲盾,金盾,cdn等各種防護軟體。
『玖』 遭受黑客攻擊後怎樣查詢被攻擊了
安全總是相對的,再安全的伺服器也有可能遭受到攻擊。作為一個安全運維人員,要把握的原則是:盡量做好系統安全防護,修復所有已知的危險行為,同時,在系統遭受攻擊後能夠迅速有效地處理攻擊行為,最大限度地降低攻擊對系統產生的影響。
一、處理伺服器遭受攻擊的一般思路
系統遭受攻擊並不可怕,可怕的是面對攻擊束手無策,下面就詳細介紹下在伺服器遭受攻擊後的一般處理思路。
1.切斷網路
所有的攻擊都來自於網路,因此,在得知系統正遭受黑客的攻擊後,首先要做的就是斷開伺服器的網路連接,這樣除了能切斷攻擊源之外,也能保護伺服器所在網路的其他主機。
2.查找攻擊源
可以通過分析系統日誌或登錄日誌文件,查看可疑信息,同時也要查看系統都打開了哪些埠,運行哪些進程,並通過這些進程分析哪些是可疑的程序。這個過程要根據經驗和綜合判斷能力進行追查和分析。下面的章節會詳細介紹這個過程的處理思路。
3.分析入侵原因和途徑
既然系統遭到入侵,那麼原因是多方面的,可能是系統漏洞,也可能是程序漏洞,一定要查清楚是哪個原因導致的,並且還要查清楚遭到攻擊的途徑,找到攻擊源,因為只有知道了遭受攻擊的原因和途徑,才能刪除攻擊源同時進行漏洞的修復。
4.備份用戶數據
在伺服器遭受攻擊後,需要立刻備份伺服器上的用戶數據,同時也要查看這些數據中是否隱藏著攻擊源。如果攻擊源在用戶數據中,一定要徹底刪除,然後將用戶數據備份到一個安全的地方。
5.重新安裝系統
永遠不要認為自己能徹底清除攻擊源,因為沒有人能比黑客更了解攻擊程序,在伺服器遭到攻擊後,最安全也最簡單的方法就是重新安裝系統,因為大部分攻擊程序都會依附在系統文件或者內核中,所以重新安裝系統才能徹底清除攻擊源。
6.修復程序或系統漏洞
在發現系統漏洞或者應用程序漏洞後,首先要做的就是修復系統漏洞或者更改程序bug,因為只有將程序的漏洞修復完畢才能正式在伺服器上運行。
7.恢復數據和連接網路
將備份的數據重新復制到新安裝的伺服器上,然後開啟服務,最後將伺服器開啟網路連接,對外提供服務。
二、檢查並鎖定可疑用戶
當發現伺服器遭受攻擊後,首先要切斷網路連接,但是在有些情況下,比如無法馬上切斷網路連接時,就必須登錄系統查看是否有可疑用戶,如果有可疑用戶登錄了系統,那麼需要馬上將這個用戶鎖定,然後中斷此用戶的遠程連接。
1.登錄系統查看可疑用戶
通過root用戶登錄,然後執行「w」命令即可列出所有登錄過系統的用戶,如下圖所示。
通過這個輸出可以檢查是否有可疑或者不熟悉的用戶登錄,同時還可以根據用戶名以及用戶登錄的源地址和它們正在運行的進程來判斷他們是否為非法用戶。
2.鎖定可疑用戶
一旦發現可疑用戶,就要馬上將其鎖定,例如上面執行「w」命令後發現nobody用戶應該是個可疑用戶(因為nobody默認情況下是沒有登錄許可權的),於是首先鎖定此用戶,執行如下操作:
[root@server ~]# passwd -l nobody鎖定之後,有可能此用戶還處於登錄狀態,於是還要將此用戶踢下線,根據上面「w」命令的輸出,即可獲得此用戶登錄進行的pid值,操作如下:
[root@server ~]# ps -ef|grep @pts/3 531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3 [root@server ~]# kill -9 6051這樣就將可疑用戶nobody從線上踢下去了。如果此用戶再次試圖登錄它已經無法登錄了。
3.通過last命令查看用戶登錄事件
last命令記錄著所有用戶登錄系統的日誌,可以用來查找非授權用戶的登錄事件,而last命令的輸出結果來源於/var/log/wtmp文件,稍有經驗的入侵者都會刪掉/var/log/wtmp以清除自己行蹤,但是還是會露出蛛絲馬跡在此文件中的。
三、查看系統日誌
查看系統日誌是查找攻擊源最好的方法,可查的系統日誌有/var/log/messages、/var/log/secure等,這兩個日誌文件可以記錄軟體的運行狀態以及遠程用戶的登錄狀態,還可以查看每個用戶目錄下的.bash_history文件,特別是/root目錄下的.bash_history文件,這個文件中記錄著用戶執行的所有歷史命令。
四、檢查並關閉系統可疑進程
檢查可疑進程的命令很多,例如ps、top等,但是有時候只知道進程的名稱無法得知路徑