linux查看被攻击

1. linux服务器感觉被攻击了，求高手解决

1、127.0.0.1是本机ip
2、可以用tcpmp -nn -i eth0检查相应网卡发包
3、检查httpd日志
4、检查/var/log/secure
5、netstat -ntlp检查端口及对应进程，关闭没用的端口
6、cat /etc/passwd 关闭没有用的账户
7、ps -ef检查所有进程，普通用户如果弱密码也可以被执行蠕虫脚本，不断发包用尽带宽。

2. Linux服务器被黑如何查

linux系统的服务器被入侵，总结了以下的基本方法，供不大懂linux服务器网理人员参考考学习。x0dx0a首先先用iptraf查下，如果没装的运行yum install iptraf装下，看里面是不是UDP包发的很多，如果是，基本都被人装了后门x0dx0a1. 检查帐户x0dx0a# less /etc/passwdx0dx0a# grep :0: /etc/passwd（检查是否产生了新用户，和UID、GID是0的用户）x0dx0a# ls -l /etc/passwd（查看文件修改日期）x0dx0a# awk -F: ‘$3= =0 {print $1}’ /etc/passwd（查看是否存在特权用户）x0dx0a# awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow（查看是否存在空口令帐户）x0dx0a x0dx0a2. 检查日志x0dx0a# last（查看正常情况下登录到本机的所有用户的历史记录）x0dx0a注意”entered promiscuous mode”x0dx0a注意错误信息x0dx0a注 意Remote Procere Call (rpc) programs with a log entry that includes a large number (> 20) strange characters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)x0dx0a x0dx0a3. 检查进程x0dx0a# ps -aux（注意UID是0的）x0dx0a# lsof -p pid（察看该进程所打开端口和饥模文件）x0dx0a# cat /etc/inetd.conf | grep -v “^#”（检查守护进程）x0dx0a检查隐藏进程x0dx0a# ps -ef|awk ‘{print }’|sort -n|uniq >1x0dx0a# ls /porc |sort -n|uniq >2x0dx0a# diff 1 2x0dx0a x0dx0a4. 检查文件x0dx0a# find / -uid 0 _perm -4000 _printx0dx0a# find / -size +10000k _printx0dx0a# find / -name “?” _printx0dx0a# find / -name “.. ” _printx0dx0a# find / -name “. ” _printx0dx0a# find / -name ” ” _printx0dx0a注意SUID文件，可疑大于10M和空格文件x0dx0a# find / -name core -exec ls -l {} ;（检查系统中的core文件）x0dx0a检查系统文件完整性x0dx0a# rpm _qf /bin/lsx0dx0a# rpm -qf /烂液缓bin/loginx0dx0a# md5sum _b 文件名x0dx0a# md5sum _t 文件名x0dx0a x0dx0a5. 检查RPMx0dx0a# rpm _Vax0dx0a输出格式：x0dx0aS _ File size differsx0dx0aM _ Mode differs (permissions)x0dx0a5 _ MD5 sum differsx0dx0aD _ Device number mismatchx0dx0aL _ readLink path mismatchx0dx0aU _ user ownership differsx0dx0aG _ group ownership differsx0dx0aT _ modification time differsx0dx0a注意相关的 /sbin, /bin, /usr/sbin, and /usr/binx0dx0a x0dx0a6. 检查埋辩网络x0dx0a# ip link | grep PROMISC（正常网卡不该在promisc模式，可能存在sniffer）x0dx0a# lsof _ix0dx0a# netstat _nap（察看不正常打开的TCP/UDP端口)x0dx0a# arp _ax0dx0a x0dx0a7. 检查计划任务x0dx0a注意root和UID是0的schelex0dx0a# crontab _u root _lx0dx0a# cat /etc/crontabx0dx0a# ls /etc/cron.*x0dx0a x0dx0a8. 检查后门x0dx0a# cat /etc/crontabx0dx0a# ls /var/spool/cron/x0dx0a# cat /etc/rc.d/rc.localx0dx0a# ls /etc/rc.dx0dx0a# ls /etc/rc3.dx0dx0a# find / -type f -perm 4000x0dx0a x0dx0a9. 检查内核模块x0dx0a# lsmodx0dx0a x0dx0a10. 检查系统服务x0dx0a# chkconfigx0dx0a# rpcinfo -p（查看RPC服务）x0dx0a x0dx0a11. 检查rootkitx0dx0a# rkhunter -cx0dx0a# chkrootkit -q

3. 如何确定我的Mac或Linux是否易受到Shellshock攻击

Shellshock,一个最近才被发现的Bash 漏洞，它可以允许攻击者在你的机器上注入代码。这使得Mac OS以及Linux处于恶意攻击的威胁之下。那么如何确定漏李蚂我的Mac或Linux是否易受到Shellshock攻击?相信很多果粉现在都在担心这个问吧，下面我们来谈谈如何确定你的机器是否易受攻击。

Shellshock使用bash脚本来接入你的电脑。仅仅是这个，它就能在你的机器上运行程序、开启服务、以及接收文件。这个脚本主要影响到基于Unix的操作系统,所以Linux系统和Mac OS毫无疑问的中枪了。

你可以在终端里面输入以下命令来测试系统：

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

如果你的电脑不存在被攻击的隐患,那你应该会看见它返回：

bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' this is a test

如果存在被攻击的隐患,输出结果就会如下：

vulnerable this is a test

接着你可以使用返埋以下命令行来检查你的bash版本:

bash --version

如果显示结果为你正在使用发行版本号为3.2.51(1)-release的bash shell,那就表示你需要升级了。多数的Linux发行版本已经有了可用的补丁。可以参照网上的一些教程来进行升扰祥级。如果你是Mac OS用户,那你还需要花费一些时间来等苹果的新补丁，不过你也可以根据这篇文章来进行手动更新。

以上就是我的Mac或Linux是否易受到Shellshock攻击的查看方式，希望对大家有所帮助！

4. 如何看Linux服务器是否被攻击

top命令，查看有没有异常进程占用首瞎大量的CPU或者是内存资源；
查看less
/var/log/secure文件，查看ssh日志，看是否有非法用户大量尝试ssh；
who命令，查看目前ssh到linux服务器的用户，是否是合法的；
查看在linux服务器上部署的应用是否者卜空有漏洞，有的话很容弊渣易受到攻击。

5. Linux 系统如何通过 netstat 命令查看连接数判断攻击

很多时候我们会遇到服务器遭受 cc 或 syn 等攻击，如果发现自己的网站访问异常缓慢且流量异常。可以使用系统内置 netstat 命令 简单判断一下服务器是否被攻击。常用的 netstat 命令

该命令将显示所有活动的网络连接。

查看同时连接到哪个服务器 IP 比较多，cc 攻击用。使用双网卡或多网卡可用。

查看哪些 IP 连接到服务器连接多，可以查看连接异常 IP。

显示所有 80 端口的网络连接并排序。这里的 80 端口是 http 端口，所以可以用来监控 web 服务。如果看到同一个 IP 有大量连接的话就可以判定单点流量攻击了。

这个命令可以查找出当前服务器有多少个活动的 SYNC_REC 连接。正常来说这个值很小，最好小于 5。 当有 Dos 攻击或的时候，这个值相当的高。但是有些并发很高的服务器，这个值确实是很高，因此很高并不能说明一定被攻击。

列出所有连接过的 IP 地址。

列出所有发送 SYN_REC 连接节点的 IP 地址。

使用 netstat 命令计算每个主机连接到本机的连接数。

列出所有连接到本机的 UDP 或者 TCP 连接的 IP 数量。

检查 ESTABLISHED 连接并且列出每个 IP 地址的连接数量。

列出所有连接到本机 80 端口的 IP 地址和其连接数。80 端口一般是用来处理 HTTP 网页请求。

显示连接 80 端口前 10 的 ip，并显示每个 IP 的连接数。这里的 80 端口是 http 端口，所以可以用来监控 web 服务。如果看到同一个 IP 有大量连接的话就可以判定单点流量攻击了。

6. 如何检测到Linux服务器遭受CC攻击的

比如你在linux上面运行了一个网站，那么CC攻击的特征是：

1、CC攻击的ip都是真实的，分散的；

2、扒简CC攻击的数据包都是正常的数据包；

3、CC攻击的请求都是有效请求，且无法拒绝高让；

4、CC攻击的是网页，服戚此局务器可以连接，ping也没问题，但是网页就是访问不了。

5、但是IIS一开，服务器很快就死，容易丢包。

判断好CC攻击的特征，就需要做好安全防御，我给你推荐：抗D保。防御CC攻击很不错。

7. linux服务查看攻击者的IP的命令是什么

这个涉及到入侵检测类

如果木马是潜伏期，比较复杂，一时半会给你讲不清楚

如果木马是活动期，正在大流量发包，

方法如下

1、iptraf -f，然后 选IP traffic monitor

指定你的网卡

会看到很多对应关系，这样就可以找到发包最大的IP对应关系出来

2、netstat -tuanp |grep 大流量ip ，会得到对应进程

3、iptables限制其出网

4、kill并删除对应进程，然后查看/etc/rc.d 有没有被注东西，包括chkconfig等，所有系统自起的全看看，，详细的可以查询一下入侵检测部分时间有限不一 一说了

8. 如何在Linux上用命令查询是否被DDOS攻击

服务器出现缓慢的状况可能由很多事情导致，比如错误的配置，脚本和差的硬件。但是有时候它可能因为有人对你的服务器用DoS或者DDoS进行洪水攻击。
如何在Linux上使用netstat命令查证DDOS攻击
DoS攻击或者DDoS攻击是试图让机器或者网络资源不可用的攻击。这种攻击的攻击目标网站或者服务通常是托管在高防服务器比如银行，信用卡支付网管，甚至根域名服务器，DOS攻击的实施通常迫使目标重启计算机或者消耗资源，使他们不再提供服务或者妨碍用户，访客访问。
在这篇小文章中，你可以知道在受到攻击之后如何在终端中使用netstat命令检查你的服务器。
一些例子和解释
netstat -na显示所有连接到服务器的活跃的网络连接netstat -an | grep :80 | sort只显示连接到80段口的活跃的网络连接,80是http端口,这对于web服务器非常有用,并且对结果排序.对于你从许多的连接中找出单个发动洪水攻击IP非常有用netstat -n -p|grep SYN_REC | wc -l这个命令对于在服务器上找出活跃的SYNC_REC非常有用,数量应该很低,最世誉渗好少于5.在dos攻击和邮件炸弹,这个数字可能非常高.然而值通常依赖于系统,所以高的值可能平分给另外的服务器.netstat -n -p | grep SYN_REC | sort -u列出所有包含的IP地址而不仅仅是计数.netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'列出所有不同的IP地址节点发送SYN_REC的连接状态netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n使用netstat命令来计算每个IP地址对虚乱服务器的连接数量netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n列出使用tcp和udp连接到服务器的数目netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr检查ESTABLISHED连接而不是所有连接,这可以每个ip的连接数netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1显示并且列出连接到80端口IP地址和连接数.80被用来作为HTTP
如何缓解DDoS攻击
当你发现攻击你服务器的IP你可以使用下面的命令来关闭他们的连接：
iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT
请注意你必须用你使用netstat命令找到的IP数替换$IPADRESS
在完成搜脊以上的命令，使用下面的命令杀掉所有httpd连接，清除你的系统，然后重启httpd服务。
killall -KILL httpd service httpd start #For Red Hat systems /etc/init/d/apache2 restar

Linux系统用netstat命令查看DDOS攻击具体命令用法如下：

代码如下:netstat -na
显示所有连接到服务器的活跃的网络连接

代码如下:netstat -an | grep :80 | sort
只显示连接到80段口的活跃的网络连接,80是http端口,这对于web服务器非常有用,并且对结果排序.对于你从许多的连接中找出单个发动洪水攻击IP非常有用

代码如下:netstat -n -p|grep SYN_REC | wc -l
这个命令对于在服务器上找出活跃的SYNC_REC非常有用,数量应该很低,最好少于5.
在dos攻击和邮件炸弹,这个数字可能非常高.然而值通常依赖于系统,所以高的值可能平分给另外的服务器.

代码如下:netstat -n -p | grep SYN_REC | sort -u
列出所有包含的IP地址而不仅仅是计数.

代码如下:netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'
列出所有不同的IP地址节点发送SYN_REC的连接状态

代码如下:netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
使用netstat命令来计算每个IP地址对服务器的连接数量

代码如下:netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
列出使用tcp和udp连接到服务器的数目

代码如下:netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr
检查ESTABLISHED连接而不是所有连接,这可以每个ip的连接数

代码如下:netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1
显示并且列出连接到80端口IP地址和连接数.80被用来作为HTTP
如何缓解ddos攻击
当你发现攻击你服务器的IP你可以使用下面的命令来关闭他们的连接：

代码如下:iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT
请注意你必须用你使用netstat命令找到的IP数替换$IPADRESS