linux查看被攻擊

1. linux伺服器感覺被攻擊了，求高手解決

1、127.0.0.1是本機ip
2、可以用tcpmp -nn -i eth0檢查相應網卡發包
3、檢查httpd日誌
4、檢查/var/log/secure
5、netstat -ntlp檢查埠及對應進程，關閉沒用的埠
6、cat /etc/passwd 關閉沒有用的賬戶
7、ps -ef檢查所有進程，普通用戶如果弱密碼也可以被執行蠕蟲腳本，不斷發包用盡帶寬。

2. Linux伺服器被黑如何查

linux系統的伺服器被入侵，總結了以下的基本方法，供不大懂linux伺服器網理人員參考考學習。x0dx0a首先先用iptraf查下，如果沒裝的運行yum install iptraf裝下，看裡面是不是UDP包發的很多，如果是，基本都被人裝了後門x0dx0a1. 檢查帳戶x0dx0a# less /etc/passwdx0dx0a# grep :0: /etc/passwd（檢查是否產生了新用戶，和UID、GID是0的用戶）x0dx0a# ls -l /etc/passwd（查看文件修改日期）x0dx0a# awk -F: 『$3= =0 {print $1}』 /etc/passwd（查看是否存在特權用戶）x0dx0a# awk -F: 『length($2)= =0 {print $1}』 /etc/shadow（查看是否存在空口令帳戶）x0dx0a x0dx0a2. 檢查日誌x0dx0a# last（查看正常情況下登錄到本機的所有用戶的歷史記錄）x0dx0a注意」entered promiscuous mode」x0dx0a注意錯誤信息x0dx0a注 意Remote Procere Call (rpc) programs with a log entry that includes a large number (> 20) strange characters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)x0dx0a x0dx0a3. 檢查進程x0dx0a# ps -aux（注意UID是0的）x0dx0a# lsof -p pid（察看該進程所打開埠和飢模文件）x0dx0a# cat /etc/inetd.conf | grep -v 「^#」（檢查守護進程）x0dx0a檢查隱藏進程x0dx0a# ps -ef|awk 『{print }』|sort -n|uniq >1x0dx0a# ls /porc |sort -n|uniq >2x0dx0a# diff 1 2x0dx0a x0dx0a4. 檢查文件x0dx0a# find / -uid 0 _perm -4000 _printx0dx0a# find / -size +10000k _printx0dx0a# find / -name 「?」 _printx0dx0a# find / -name 「.. 」 _printx0dx0a# find / -name 「. 」 _printx0dx0a# find / -name 」 」 _printx0dx0a注意SUID文件，可疑大於10M和空格文件x0dx0a# find / -name core -exec ls -l {} ;（檢查系統中的core文件）x0dx0a檢查系統文件完整性x0dx0a# rpm _qf /bin/lsx0dx0a# rpm -qf /爛液緩bin/loginx0dx0a# md5sum _b 文件名x0dx0a# md5sum _t 文件名x0dx0a x0dx0a5. 檢查RPMx0dx0a# rpm _Vax0dx0a輸出格式：x0dx0aS _ File size differsx0dx0aM _ Mode differs (permissions)x0dx0a5 _ MD5 sum differsx0dx0aD _ Device number mismatchx0dx0aL _ readLink path mismatchx0dx0aU _ user ownership differsx0dx0aG _ group ownership differsx0dx0aT _ modification time differsx0dx0a注意相關的 /sbin, /bin, /usr/sbin, and /usr/binx0dx0a x0dx0a6. 檢查埋辯網路x0dx0a# ip link | grep PROMISC（正常網卡不該在promisc模式，可能存在sniffer）x0dx0a# lsof _ix0dx0a# netstat _nap（察看不正常打開的TCP/UDP埠)x0dx0a# arp _ax0dx0a x0dx0a7. 檢查計劃任務x0dx0a注意root和UID是0的schelex0dx0a# crontab _u root _lx0dx0a# cat /etc/crontabx0dx0a# ls /etc/cron.*x0dx0a x0dx0a8. 檢查後門x0dx0a# cat /etc/crontabx0dx0a# ls /var/spool/cron/x0dx0a# cat /etc/rc.d/rc.localx0dx0a# ls /etc/rc.dx0dx0a# ls /etc/rc3.dx0dx0a# find / -type f -perm 4000x0dx0a x0dx0a9. 檢查內核模塊x0dx0a# lsmodx0dx0a x0dx0a10. 檢查系統服務x0dx0a# chkconfigx0dx0a# rpcinfo -p（查看RPC服務）x0dx0a x0dx0a11. 檢查rootkitx0dx0a# rkhunter -cx0dx0a# chkrootkit -q

3. 如何確定我的Mac或Linux是否易受到Shellshock攻擊

Shellshock,一個最近才被發現的Bash 漏洞，它可以允許攻擊者在你的機器上注入代碼。這使得Mac OS以及Linux處於惡意攻擊的威脅之下。那麼如何確定漏李螞我的Mac或Linux是否易受到Shellshock攻擊?相信很多果粉現在都在擔心這個問吧，下面我們來談談如何確定你的機器是否易受攻擊。

Shellshock使用bash腳本來接入你的電腦。僅僅是這個，它就能在你的機器上運行程序、開啟服務、以及接收文件。這個腳本主要影響到基於Unix的操作系統,所以Linux系統和Mac OS毫無疑問的中槍了。

你可以在終端裡面輸入以下命令來測試系統：

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

如果你的電腦不存在被攻擊的隱患,那你應該會看見它返回：

bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' this is a test

如果存在被攻擊的隱患,輸出結果就會如下：

vulnerable this is a test

接著你可以使用返埋以下命令行來檢查你的bash版本:

bash --version

如果顯示結果為你正在使用發行版本號為3.2.51(1)-release的bash shell,那就表示你需要升級了。多數的Linux發行版本已經有了可用的補丁。可以參照網上的一些教程來進行升擾祥級。如果你是Mac OS用戶,那你還需要花費一些時間來等蘋果的新補丁，不過你也可以根據這篇文章來進行手動更新。

以上就是我的Mac或Linux是否易受到Shellshock攻擊的查看方式，希望對大家有所幫助！

4. 如何看Linux伺服器是否被攻擊

top命令，查看有沒有異常進程佔用首瞎大量的CPU或者是內存資源；
查看less
/var/log/secure文件，查看ssh日誌，看是否有非法用戶大量嘗試ssh；
who命令，查看目前ssh到linux伺服器的用戶，是否是合法的；
查看在linux伺服器上部署的應用是否者卜空有漏洞，有的話很容弊渣易受到攻擊。

5. Linux 系統如何通過 netstat 命令查看連接數判斷攻擊

很多時候我們會遇到伺服器遭受 cc 或 syn 等攻擊，如果發現自己的網站訪問異常緩慢且流量異常。可以使用系統內置 netstat 命令 簡單判斷一下伺服器是否被攻擊。常用的 netstat 命令

該命令將顯示所有活動的網路連接。

查看同時連接到哪個伺服器 IP 比較多，cc 攻擊用。使用雙網卡或多網卡可用。

查看哪些 IP 連接到伺服器連接多，可以查看連接異常 IP。

顯示所有 80 埠的網路連接並排序。這里的 80 埠是 http 埠，所以可以用來監控 web 服務。如果看到同一個 IP 有大量連接的話就可以判定單點流量攻擊了。

這個命令可以查找出當前伺服器有多少個活動的 SYNC_REC 連接。正常來說這個值很小，最好小於 5。 當有 Dos 攻擊或的時候，這個值相當的高。但是有些並發很高的伺服器，這個值確實是很高，因此很高並不能說明一定被攻擊。

列出所有連接過的 IP 地址。

列出所有發送 SYN_REC 連接節點的 IP 地址。

使用 netstat 命令計算每個主機連接到本機的連接數。

列出所有連接到本機的 UDP 或者 TCP 連接的 IP 數量。

檢查 ESTABLISHED 連接並且列出每個 IP 地址的連接數量。

列出所有連接到本機 80 埠的 IP 地址和其連接數。80 埠一般是用來處理 HTTP 網頁請求。

顯示連接 80 埠前 10 的 ip，並顯示每個 IP 的連接數。這里的 80 埠是 http 埠，所以可以用來監控 web 服務。如果看到同一個 IP 有大量連接的話就可以判定單點流量攻擊了。

6. 如何檢測到Linux伺服器遭受CC攻擊的

比如你在linux上面運行了一個網站，那麼CC攻擊的特徵是：

1、CC攻擊的ip都是真實的，分散的；

2、扒簡CC攻擊的數據包都是正常的數據包；

3、CC攻擊的請求都是有效請求，且無法拒絕高讓；

4、CC攻擊的是網頁，服戚此局務器可以連接，ping也沒問題，但是網頁就是訪問不了。

5、但是IIS一開，伺服器很快就死，容易丟包。

判斷好CC攻擊的特徵，就需要做好安全防禦，我給你推薦：抗D保。防禦CC攻擊很不錯。

7. linux服務查看攻擊者的IP的命令是什麼

這個涉及到入侵檢測類

如果木馬是潛伏期，比較復雜，一時半會給你講不清楚

如果木馬是活動期，正在大流量發包，

方法如下

1、iptraf -f，然後 選IP traffic monitor

指定你的網卡

會看到很多對應關系，這樣就可以找到發包最大的IP對應關系出來

2、netstat -tuanp |grep 大流量ip ，會得到對應進程

3、iptables限制其出網

4、kill並刪除對應進程，然後查看/etc/rc.d 有沒有被注東西，包括chkconfig等，所有系統自起的全看看，，詳細的可以查詢一下入侵檢測部分時間有限不一 一說了

8. 如何在Linux上用命令查詢是否被DDOS攻擊

伺服器出現緩慢的狀況可能由很多事情導致，比如錯誤的配置，腳本和差的硬體。但是有時候它可能因為有人對你的伺服器用DoS或者DDoS進行洪水攻擊。
如何在Linux上使用netstat命令查證DDOS攻擊
DoS攻擊或者DDoS攻擊是試圖讓機器或者網路資源不可用的攻擊。這種攻擊的攻擊目標網站或者服務通常是託管在高防伺服器比如銀行，信用卡支付網管，甚至根域名伺服器，DOS攻擊的實施通常迫使目標重啟計算機或者消耗資源，使他們不再提供服務或者妨礙用戶，訪客訪問。
在這篇小文章中，你可以知道在受到攻擊之後如何在終端中使用netstat命令檢查你的伺服器。
一些例子和解釋
netstat -na顯示所有連接到伺服器的活躍的網路連接netstat -an | grep :80 | sort只顯示連接到80段口的活躍的網路連接,80是http埠,這對於web伺服器非常有用,並且對結果排序.對於你從許多的連接中找出單個發動洪水攻擊IP非常有用netstat -n -p|grep SYN_REC | wc -l這個命令對於在伺服器上找出活躍的SYNC_REC非常有用,數量應該很低,最世譽滲好少於5.在dos攻擊和郵件炸彈,這個數字可能非常高.然而值通常依賴於系統,所以高的值可能平分給另外的伺服器.netstat -n -p | grep SYN_REC | sort -u列出所有包含的IP地址而不僅僅是計數.netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'列出所有不同的IP地址節點發送SYN_REC的連接狀態netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n使用netstat命令來計算每個IP地址對虛亂伺服器的連接數量netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n列出使用tcp和udp連接到伺服器的數目netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr檢查ESTABLISHED連接而不是所有連接,這可以每個ip的連接數netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1顯示並且列出連接到80埠IP地址和連接數.80被用來作為HTTP
如何緩解DDoS攻擊
當你發現攻擊你伺服器的IP你可以使用下面的命令來關閉他們的連接：
iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT
請注意你必須用你使用netstat命令找到的IP數替換$IPADRESS
在完成搜脊以上的命令，使用下面的命令殺掉所有httpd連接，清除你的系統，然後重啟httpd服務。
killall -KILL httpd service httpd start #For Red Hat systems /etc/init/d/apache2 restar

Linux系統用netstat命令查看DDOS攻擊具體命令用法如下：

代碼如下:netstat -na
顯示所有連接到伺服器的活躍的網路連接

代碼如下:netstat -an | grep :80 | sort
只顯示連接到80段口的活躍的網路連接,80是http埠,這對於web伺服器非常有用,並且對結果排序.對於你從許多的連接中找出單個發動洪水攻擊IP非常有用

代碼如下:netstat -n -p|grep SYN_REC | wc -l
這個命令對於在伺服器上找出活躍的SYNC_REC非常有用,數量應該很低,最好少於5.
在dos攻擊和郵件炸彈,這個數字可能非常高.然而值通常依賴於系統,所以高的值可能平分給另外的伺服器.

代碼如下:netstat -n -p | grep SYN_REC | sort -u
列出所有包含的IP地址而不僅僅是計數.

代碼如下:netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'
列出所有不同的IP地址節點發送SYN_REC的連接狀態

代碼如下:netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
使用netstat命令來計算每個IP地址對伺服器的連接數量

代碼如下:netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
列出使用tcp和udp連接到伺服器的數目

代碼如下:netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr
檢查ESTABLISHED連接而不是所有連接,這可以每個ip的連接數

代碼如下:netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1
顯示並且列出連接到80埠IP地址和連接數.80被用來作為HTTP
如何緩解ddos攻擊
當你發現攻擊你伺服器的IP你可以使用下面的命令來關閉他們的連接：

代碼如下:iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT
請注意你必須用你使用netstat命令找到的IP數替換$IPADRESS