Linux 服务器被黑检查

前言

服务器被黑最常见的现象就是cpu占用特别高,因为黑客需要用你的服务器进行一些算力操作,比如挖矿、肉鸡等。

怎么被黑的

  • 漏洞:常见的被黑大多数都是由漏洞引起的,很多严重的漏洞都能被黑客利用并执行系统命令,从而中招,所以如果要避免中招,就得经常注意漏洞的更新和修复。
  • 弱密码:公网上的暴力破解非常多,如果你的服务器有公网IP,如果你的root密码是123456,那用不了多长时间就会被发现。

检查

一、查看所有进程,并按照CPU使用率排序,除了看最下面CPU使用率最高的进程外,还得看有没有其他的可疑进程

ps aux | sort -n -k3

二、查看计划任务,看有没有可疑项

crontab -l
ls /etc/cron.*/*

三、查看启动脚本所在的目录,看有没有可疑项,无法确定的文件最好进去看看

cat /etc/rc.d/rc.local
ls /etc/rc.*/*

总结

被黑后的“病毒”文件只有两种办法保障自己时刻处于运行状态,一是计划任务,隔几分钟检查一次,如果发现没有运行则启动运行,二是开机自启,所以大多数情况下只需要检查这两个地方就行了。

本文链接:

http://blog.ps-ef.cn/Linux/81.html
1 + 4 =
快来做第一个评论的人吧~