如何發現伺服器被入侵

❶ 怎麼查看伺服器被入侵

1、入侵者入侵後一般會開伺服器的3389，建立隱藏用戶，然後登錄。我們只要到c:documents
and
settings這個目錄下看看是否有可以的用戶名就可以了，不管是不是隱藏的用戶，都會在這里顯示出來。
2、有些入侵者喜歡留一個有高許可權的sqlserver資料庫用戶，當作後門，我們可以打開登陸sqlserver的查詢分析器，然後依次打開master--系統表--dbo.sysxlogins（sqlserver2000下，sql2005和2008下，小王沒找到如何查看資料庫用戶的方法，如果您知道請指點），在這個窗口的name列中可以看到sqlserver資料庫的用戶，一般情況下會有3個用戶，一個是sa，一個builtinadministrators，還有一個是null，如果還存在其他用戶，就有可能是被人入侵了或者是我上面講的那些情況，就需要注意點了，當然不一定就那三個用戶，小王還見過name下有多個sa和null的，但不知道是怎麼回事，具體問題還需要具體分析。

❷ 如何看linux伺服器是否被攻擊

以下幾種方法檢測linux伺服器是否被攻擊：x0dx0a1、檢查系統密碼文件 x0dx0a首先從明顯的入手，查看一下passwd文件，ls _l /etc/passwd查看文件修改的日期。 x0dx0a2、查看一下進程，看看有沒有奇怪的進程 x0dx0ax0dx0a重點查看進程：ps _aef | grep inetd inetd是UNIX系統的守護進程，正常的inetd的pid都比較靠前，如果看到輸出了一個類似inetd _s x0dx0a/tmp/.xxx之類的進程，著重看inetd x0dx0a_s後面的內容。在正常情況下，LINUX系統中的inetd服務後面是沒有-s參數的，當然也沒有用inetd去啟動某個文件；而solaris系統中x0dx0a也僅僅是inetd x0dx0a_s，同樣沒有用inetd去啟動某個特定的文件；如果使用ps命令看到inetd啟動了某個文件，而自己又沒有用inetd啟動這個文件，那就說明已經有人入侵了系統，並且以root許可權起了一個簡單的後門。x0dx0a3、檢查系統守護進程 x0dx0a檢查/etc/inetd.conf文件，輸入：cat /etc/inetd.conf | grep _v 「^#」，輸出的信息就是這台機器所開啟的遠程服務。 x0dx0a一般入侵者可以通過直接替換in.xxx程序來創建一個後門，比如用/bin/sh 替換掉in.telnetd，然後重新啟動inetd服務，那麼telnet到伺服器上的所有用戶將不用輸入用戶名和密碼而直接獲得一個rootshell。x0dx0a4、檢查網路連接和監聽埠 x0dx0a輸入netstat -an，列出本機所有的連接和監聽的埠，查看有沒有非法連接。 x0dx0a輸入netstat _rn，查看本機的路由、網關設置是否正確。 x0dx0a輸入 ifconfig _a，查看網卡設置。 x0dx0a5、檢查系統日誌 x0dx0a命令last | x0dx0amore查看在正常情況下登錄到本機的所有用戶的歷史記錄。但last命令依賴於syslog進程，這已經成為入侵者攻擊的重要目標。入侵者通常會停止系x0dx0a統的syslog，查看系統syslog進程的情況，判斷syslog上次啟動的時間是否正常，因為syslog是以root身份執行的，如果發現x0dx0asyslog被非法動過，那說明有重大的入侵事件。 x0dx0a在linux下輸入ls _al /var/log x0dx0a檢查wtmp utmp，包括messgae等文件的完整性和修改時間是否正常，這也是手工擦除入侵痕跡的一種方法。 x0dx0a6、檢查系統中的core文件 x0dx0a通過發送畸形請求來攻擊伺服器的某一服務來入侵系統是一種常規的入侵方法，典型的RPC攻擊就是通過這種方式。這種方式有一定的成功率，也就是說並不能x0dx0a100%保證成功入侵系統，而且通常會在伺服器相應目錄下產生core文件，全局查找系統中的core文件，輸入find / -name core x0dx0a_exec ls _l {} \; 依據core所在的目錄、查詢core文件來判斷是否有入侵行為。x0dx0a7、檢查系統文件完整性 x0dx0a檢查文件的完整性有多種方法，通常通過輸入ls _l x0dx0a文件名來查詢和比較文件，這種方法雖然簡單，但還是有一定的實用性。但是如果ls文件都已經被替換了就比較麻煩。在LINUX下可以用rpm _V x0dx0a`rpm _qf 文件名` x0dx0a來查詢，查詢的結果是否正常來判斷文件是否完整。在LINUX下使用rpm來檢查文件的完整性的方法也很多，這里不一一贅述，可以man x0dx0arpm來獲得更多的格式。

❸ 幾條判斷Linux伺服器是否被入侵的技巧

檢查 1 - 當前都有誰在登錄?
你首先要查看當前都有誰登錄在伺服器上。發現攻擊者登錄到伺服器上進行操作並不復雜。
其對應的命令是 w。運行 w 會輸出如下結果：
08:32:55 up 98 days, 5:43, 2 users, load average: 0.05, 0.03, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 113.174.161.1 08:26 0.00s 0.03s 0.02s ssh root@
coopeaa12
root pts/1 78.31.109.1 08:26 0.00s 0.01s 0.00s w
第一個 IP 是英國 IP，而第二個 IP 是越南 IP。這個不是個好兆頭。
停下來做個深呼吸, 不要恐慌之下只是幹掉他們的 SSH 連接。除非你能夠防止他們再次進入伺服器，否則他們會很快進來並踢掉你，以防你再次回去。
請參閱本文最後的「被入侵之後怎麼辦」這一章節來看找到了被入侵的證據後應該怎麼辦。
whois 命令可以接一個 IP 地址然後告訴你該 IP 所注冊的組織的所有信息，當然就包括所在國家的信息。
檢查 2 - 誰曾經登錄過?
Linux 伺服器會記錄下哪些用戶，從哪個 IP，在什麼時候登錄的以及登錄了多長時間這些信息。使用 last 命令可以查看這些信息。
輸出類似這樣：
root pts/1 78.31.109.1 Thu Nov 30 08:26 still logged in
root pts/0 113.174.161.1 Thu Nov 30 08:26 still logged in
root pts/1 78.31.109.1 Thu Nov 30 08:24 - 08:26 (00:01)
root pts/0 113.174.161.1 Wed Nov 29 12:34 - 12:52 (00:18)
root pts/0 14.176.196.1 Mon Nov 27 13:32 - 13:53 (00:21)
這里可以看到英國 IP 和越南 IP 交替出現，而且最上面兩個 IP 現在還處於登錄狀態。如果你看到任何未經授權的 IP.

❹ 如何快速判斷伺服器是否被惡意入侵

而國內網路很大一部分的垃圾流量（惡意CC攻擊、ddos攻擊、垃圾郵件、垃圾彈窗廣告等）也都是以這類被盜用入侵的IDC產品為土壤而滋生的。
由此可見，對於自身的IDC產品做好安全防護及快速的故障排查是一個相當有必要的事情。不僅能提高自身產品的附加價值。提高產品的利用率。提升品牌形象，更能給客戶一個良好的服務面貌。
在此，筆者對常見的託管租用使用windows server
第一步、檢查系統組及用戶
我的電腦——右鍵管理——本地用戶和組——組
檢查administrators組內是否存在除開管理員用戶賬號（默認為administrator）以外的其他用戶賬號
檢查users組內是否存在非系統默認賬號或管理員指定賬號
本地用戶和組——用戶
檢查是否存在未做注釋或名稱異常的用戶
一般由於軟體後本被入侵的伺服器都會在administrators組內添加一個admin$或相類似的用戶，一旦發現該類用戶就應該首先避免運行任何程序，停止所有服務並及時使用殺毒軟體對伺服器關鍵區域（啟動駐存、C盤
系統文件夾 用戶自定義文件夾）進行完整掃描，避免木馬的二次交叉感染。
第二步，檢查管理員賬戶是否存在異常的登陸和注銷記錄
我的電腦——右鍵管理——事件查看器——安全性
篩選所有事件ID為576和528的事件（576為系統登陸日誌 528為系統注銷日誌）
查看具體事件信息內容。內容內會存在一個登陸IP。檢查該IP是否為管理員常用登陸的IP(ip138 你懂的)
第三步、檢查伺服器是否存在異常的登陸啟動項
開始菜單——所有程序——啟動
該目錄在默認情況下應該是一個空目錄，但是如果出現一個異常的.bat程序的話就應該全盤掃描伺服器以確認伺服器安全性
開始菜單——運行msconfig啟動菜單欄中是否存在命名異常的啟動項目，例如A.EXE
XXXXI1SU2.EXE等，一旦發現全盤掃描伺服器以確認伺服器安全性
開始菜單——運行regedit
hkey_current_user—software—micorsoft—windows—currentversion-run
hkey_current_machine—software—micorsoft—windows—currentversion-run
檢查以上2個項目下是否存在異常
一般情況下如果以上3個步驟檢查不存在異常的話基本就可以判定伺服器的安全環境是無故障的

❺ 怎麼檢查網站伺服器是否被入侵

無論是linux還是windows，都需要通過網路埠進行訪問，一些程序和服務是有固定的默認埠存在的。而這些默認的埠如果不進行防護和修改的話，就容易對入侵。系統一共有65535個埠。入侵者一般都會先選擇默認埠進行連接嘗試。而修改數字大的埠，會給入侵者帶來很大的難度。觀觀（南昌壹基比）下面講解一下如果進行埠防禦呢？
1、修改默認遠程埠3389/22
2、修改默認FTP埠21
3、修改默認Mysql/Mssql埠3306/1433
4、關閉易入侵埠：88、137、138、139、389、445、464、593、636、1025、3001-3003、3095-3097等
5、關閉影子賬號埠：4899
6、關閉易提權埠：123
7、關閉imail激活的兩個IP，限制連接所有埠156.21.1.171、156.21.1.22
8、使用安全策略進行協同防護
9、配置並開啟防火牆
10、配置伺服器安全狗軟體
11、如不適用UDP埠，封閉所有UDP。
以上修改可有助於防入侵，但並不是必然防護。仍需運維人員長期定期進行伺服器安檢維護。
FTP工具與埠，在不使用的情況下，建議直接關閉埠。刪除軟體。

❻ 怎麼查看伺服器被入侵

如果伺服器（網站）被入侵了,一般都是伺服器或者網站存在漏洞，被黑客利用並提權入侵的，導致伺服器中木馬，網站被掛黑鏈，被篡改，被掛馬。解決辦法：如果程序不是很大，可以自己比對以前程序的備份文件，然後就是修復，或者換個伺服器，最好是獨立伺服器。也可以通過安全公司來解決，國內也就Sinesafe和綠盟等安全公司 比較專業.

❼ 伺服器被攻擊有什麼表現

伺服器被攻擊一般有兩種比較常見的方式：一是惡意的攻擊行為，如拒絕服務攻擊，網路病毒等等，這種方式就是消耗伺服器資源，影響伺服器的正常運作，甚至伺服器所在網路的癱瘓;

另外一個就是惡意的入侵行為，這種行為更是會導致伺服器敏感信息泄露，入侵者更是可以為所欲為，肆意破壞伺服器

❽ 如何判斷自己的伺服器是否被流量攻擊

酷酷雲為您解答~
1、檢查網站後台伺服器發現大量無用的數據包；
2、伺服器主機上有大量等待的TCP連接；
3、網路流量出現異常變化突然暴漲；
4、大量訪問源地址是虛假的；
5、當發現Ping超時或丟包嚴重時，且同一交換機上的伺服器也出現了問題，不能進行正常訪問；
流量攻擊如何防禦？
1.擴充伺服器帶寬
伺服器的網路帶寬直接決定伺服器承受攻擊能力。所以在選購伺服器時，可以加大伺服器網路帶寬。
2.使用硬體防火牆
部分硬體防火牆基於包過濾型防火牆修改為主，只在網路層檢查數據包，若是DDoS攻擊上升到應用層，防禦能力就比較弱了。
3.選用高性能設備
除了使用硬體防火牆。伺服器、路由器、交換機等網路設備的安全性能也需要有所保證。
4.負載均衡
負載均衡建立在現有網路結構之上，它提供了一種廉價有效透明的方法擴展網路設備和伺服器的帶寬、增加吞吐量、加強網路數據處理能力、提高網路的靈活性和可用性，對DDoS流量攻擊和CC攻擊都很見效。
5.篩查系統漏洞
要定期篩查系統漏洞，及早發現系統漏洞，及時安裝系統補丁。同時針對重要信息（如系統配置信息）做好備份。
6.限制特定的流量
如遇到流量異常時，應及時檢查訪問來源，並做適當的限制。以防止異常、惡意的流量來襲。主動保護網站安全。
7.選購高防伺服器
高防伺服器可以幫助網站拒絕服務攻擊，而且高防伺服器可以定時掃描現有的網路主節點，還可查找可能存在的安全漏洞的伺服器類型∞
酷酷雲伺服器為您誠意解答，伺服器租戶的選擇，酷酷雲值得信賴。

❾ 怎麼檢查網站伺服器是否被入侵

網站伺服器是否遭到侵略也可以終究靠以下幾個過程進行承認：
第一步：查看體系組及用戶。假設發現administrators組內增加一個admin$或相類似的用戶，或許性你的網站就已遭到了侵略；
第二步：查看管理員賬戶是否存在反常的登錄和刊出記載
挑選一切體系登錄日記及體系刊出日記，並具體查看其登錄ip，核實該ip是否為常用的管理員登錄ip；
第三步：查看伺服器是否存在反常啟動項
上面三個過程任何一個過程呈現了反常都有或許是因為伺服器遭到了侵略。
網站伺服器遭受侵略應該怎麼處理
1.暫時封閉網站
網站被侵略之後，最常見的狀況便是被植入木馬，為了確保訪問者的安全，一般都要把網站暫時封閉。在封閉過程中可以把域名暫時轉到別的一個網站或許一個告訴頁面。
2.剖析網站受損程度
有些黑客侵略了網站之後會把一切的網站數據都清空，假設有數據備份的站點可以終究靠數據備份康復網站數據，假設沒有備份的則需要請專業硬碟數據康復公司進行數據康復。假設網站的頁面數據沒有發生什麼改變，則網站或許僅僅是被掛馬了，可以終究靠第三四個過程消除影響。
3.檢測縫隙並打補丁
數據康復之後一定要掃描網站的縫隙並進行打補丁處理。一般的網站程序官方都會定時推出相關的補丁文件，只要把文件上傳到伺服器並掩蓋之即可。
4.木馬病毒鏟除
木馬病毒可以終究靠專業的殺毒軟體進行查殺。在這里必需要分外留意的是，有時候有些正常的文件都會被誤判為病毒，這樣一個時間段就需要用戶自己細心辨認之了。
5.常常備份數據
重要的數據經常備份
6.建議可以聯署一些防入侵，篡改的防護產品

❿ 怎麼查看伺服器被入侵 10分鍾內有問必答前往下載 下載知道APP，答題換獎品！ 專業回答 吞

還有，這僅是windows系統的排查。