如何看Linux服務(wù)器是否被攻擊？

以下幾種方法檢測linux服務(wù)器是否被攻擊：\x0d\x0a1、檢查系統(tǒng)密碼文件 \x0d\x0a首先從明顯的入手，查看一下passwd文件，ls _l /etc/passwd查看文件修改的日期。 \x0d\x0a2、查看一下進(jìn)程，看看有沒有奇怪的進(jìn)程 \x0d\x0a\x0d\x0a重點查看進(jìn)程：ps _aef | grep inetd inetd是UNIX系統(tǒng)的守護(hù)進(jìn)程，正常的inetd的pid都比較靠前，如果看到輸出了一個類似inetd _s \x0d\x0a/tmp/.xxx之類的進(jìn)程，著重看inetd \x0d\x0a_s后面的內(nèi)容。在正常情況下，LINUX系統(tǒng)中的inetd服務(wù)后面是沒有-s參數(shù)的，當(dāng)然也沒有用inetd去啟動某個文件；而solaris系統(tǒng)中\(zhòng)x0d\x0a也僅僅是inetd \x0d\x0a_s，同樣沒有用inetd去啟動某個特定的文件；如果使用ps命令看到inetd啟動了某個文件，而自己又沒有用inetd啟動這個文件，那就說明已經(jīng)有人入侵了系統(tǒng)，并且以root權(quán)限起了一個簡單的后門。\x0d\x0a3、檢查系統(tǒng)守護(hù)進(jìn)程 \x0d\x0a檢查/etc/inetd.conf文件，輸入：cat /etc/inetd.conf | grep _v “^#”，輸出的信息就是這臺機器所開啟的遠(yuǎn)程服務(wù)。 \x0d\x0a一般入侵者可以通過直接替換in.xxx程序來創(chuàng)建一個后門，比如用/bin/sh 替換掉in.telnetd，然后重新啟動inetd服務(wù)，那么telnet到服務(wù)器上的所有用戶將不用輸入用戶名和密碼而直接獲得一個rootshell。\x0d\x0a4、檢查網(wǎng)絡(luò)連接和監(jiān)聽端口 \x0d\x0a輸入netstat -an，列出本機所有的連接和監(jiān)聽的端口，查看有沒有非法連接。 \x0d\x0a輸入netstat _rn，查看本機的路由、網(wǎng)關(guān)設(shè)置是否正確。 \x0d\x0a輸入 ifconfig _a，查看網(wǎng)卡設(shè)置。 \x0d\x0a5、檢查系統(tǒng)日志 \x0d\x0a命令last | \x0d\x0amore查看在正常情況下登錄到本機的所有用戶的歷史記錄。但last命令依賴于syslog進(jìn)程，這已經(jīng)成為入侵者攻擊的重要目標(biāo)。入侵者通常會停止系\x0d\x0a統(tǒng)的syslog，查看系統(tǒng)syslog進(jìn)程的情況，判斷syslog上次啟動的時間是否正常，因為syslog是以root身份執(zhí)行的，如果發(fā)現(xiàn)\x0d\x0asyslog被非法動過，那說明有重大的入侵事件。 \x0d\x0a在linux下輸入ls _al /var/log \x0d\x0a檢查wtmp utmp，包括messgae等文件的完整性和修改時間是否正常，這也是手工擦除入侵痕跡的一種方法。 \x0d\x0a6、檢查系統(tǒng)中的core文件 \x0d\x0a通過發(fā)送畸形請求來攻擊服務(wù)器的某一服務(wù)來入侵系統(tǒng)是一種常規(guī)的入侵方法，典型的RPC攻擊就是通過這種方式。這種方式有一定的成功率，也就是說并不能\x0d\x0a100%保證成功入侵系統(tǒng)，而且通常會在服務(wù)器相應(yīng)目錄下產(chǎn)生core文件，全局查找系統(tǒng)中的core文件，輸入find / -name core \x0d\x0a_exec ls _l {} \; 依據(jù)core所在的目錄、查詢core文件來判斷是否有入侵行為。\x0d\x0a7、檢查系統(tǒng)文件完整性 \x0d\x0a檢查文件的完整性有多種方法，通常通過輸入ls _l \x0d\x0a文件名來查詢和比較文件，這種方法雖然簡單，但還是有一定的實用性。但是如果ls文件都已經(jīng)被替換了就比較麻煩。在LINUX下可以用rpm _V \x0d\x0a`rpm _qf 文件名` \x0d\x0a來查詢，查詢的結(jié)果是否正常來判斷文件是否完整。在LINUX下使用rpm來檢查文件的完整性的方法也很多，這里不一一贅述，可以man \x0d\x0arpm來獲得更多的格式。

翠屏網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)建站！從網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、響應(yīng)式網(wǎng)站開發(fā)等網(wǎng)站項目制作，到程序開發(fā)，運營維護(hù)。創(chuàng)新互聯(lián)建站公司2013年成立到現(xiàn)在10年的時間，我們擁有了豐富的建站經(jīng)驗和運維經(jīng)驗，來保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)建站。

Linux 系統(tǒng)如何通過 netstat 命令查看連接數(shù)判斷攻擊

很多時候我們會遇到服務(wù)器遭受 cc 或 syn 等攻擊，如果發(fā)現(xiàn)自己的網(wǎng)站訪問異常緩慢且流量異常?？梢允褂孟到y(tǒng)內(nèi)置 netstat 命令 簡單判斷一下服務(wù)器是否被攻擊。常用的 netstat 命令

該命令將顯示所有活動的網(wǎng)絡(luò)連接。

查看同時連接到哪個服務(wù)器 IP 比較多，cc 攻擊用。使用雙網(wǎng)卡或多網(wǎng)卡可用。

查看哪些 IP 連接到服務(wù)器連接多，可以查看連接異常 IP。

顯示所有 80 端口的網(wǎng)絡(luò)連接并排序。這里的 80 端口是 http 端口，所以可以用來監(jiān)控 web 服務(wù)。如果看到同一個 IP 有大量連接的話就可以判定單點流量攻擊了。

這個命令可以查找出當(dāng)前服務(wù)器有多少個活動的 SYNC_REC 連接。正常來說這個值很小，最好小于 5。 當(dāng)有 Dos 攻擊或的時候，這個值相當(dāng)?shù)母摺５怯行┎l(fā)很高的服務(wù)器，這個值確實是很高，因此很高并不能說明一定被攻擊。

列出所有連接過的 IP 地址。

列出所有發(fā)送 SYN_REC 連接節(jié)點的 IP 地址。

使用 netstat 命令計算每個主機連接到本機的連接數(shù)。

列出所有連接到本機的 UDP 或者 TCP 連接的 IP 數(shù)量。

檢查 ESTABLISHED 連接并且列出每個 IP 地址的連接數(shù)量。

列出所有連接到本機 80 端口的 IP 地址和其連接數(shù)。80 端口一般是用來處理 HTTP 網(wǎng)頁請求。

顯示連接 80 端口前 10 的 ip，并顯示每個 IP 的連接數(shù)。這里的 80 端口是 http 端口，所以可以用來監(jiān)控 web 服務(wù)。如果看到同一個 IP 有大量連接的話就可以判定單點流量攻擊了。

Linux grep、egrep使用命令詳解

grep egrep區(qū)別

grep 默認(rèn)不支持?jǐn)U展 但可以通過-E 選擇來支持?jǐn)U展正則

egrep 支持?jǐn)U展正則

關(guān)于正則與擴展正則的區(qū)別可以看我另一篇shell 正則的介紹

文件處理順序 以行為單位,逐行進(jìn)行處理

默認(rèn)只輸出與表達(dá)式相匹配的文本行

基本用法

- 格式1:egrep [選擇] '正則表達(dá)式' 文件

- 格式2:前置命令 | egrep [選擇] '正則表達(dá)式'

? egrep命令工具 (擴展正則命令)

? 常用命令選項

?grep 正則表達(dá)式,用來查找過濾文檔的工具符號

grep "root" user //在user文檔中查找有單詞root的行

grep "^root" user //在user文檔中查找以單詞root開頭的行

grep "bash " user //查找空行

grep "^ " user //查找以空格開頭的行

grep "[rot]" user //查找字母r或者o或者t

grep "roo[tn]" user //查找root或者roon

grep "[^rot]" user //查找字母r或者o或者t之外的內(nèi)容

grep "[a-z]" user //查找小寫字母

grep "[A-Z]" user //查找大寫字母

grep "[a-Z]" user //查找所有字母

grep "[0-9]" user //查找數(shù)字

grep "r..t" user //查找以r開頭t結(jié)尾中間有2個任意字符的單詞

grep "r. " user //查找以r開頭后面任意字符 相當(dāng)手通配符

grep "ro*" user //查找以r開頭后面有或沒有字母o的單詞,o可以出現(xiàn)任意次

grep "o{1,2}" user //查找o出現(xiàn)1次到2次的行

grep "o{2,3}" user //查找o出現(xiàn)2次到3次的行

grep "o{2}" user //查找o出現(xiàn)2次的行

grep "o{1,} " user //查找o出現(xiàn)1次以及1次以上

grep "(:0){2}" user //查找:0(數(shù)字零)連續(xù)出現(xiàn)2次的行

擴展正則

egrep "o+" user //查找o出現(xiàn)1次以及1次以上

egrep "o?" user //查找o出現(xiàn)0次或1次

egrep "o{1,2}" user //查找o出現(xiàn)1次到2次的行

egrep "o{2,3}" user //查找o出現(xiàn)2次到3次的行

egrep "o{2}" user //查找o出現(xiàn)2次的行

egrep "o{1,}" user //查找o出現(xiàn)1次以及1次以上

egrep "(:0){2}" user //查找:0(數(shù)字零)連續(xù)出現(xiàn)2次的行

egrep "bash|nologin" user //查找bash或者nologin

egrep "\bthe\b" a //查找單詞the,前后是空格或者特殊符號

案例:

正則表達(dá)式匹配練習(xí)

1）典型的應(yīng)用場合：grep、egrep檢索文本行

grep命令不帶-E選項時，支持基本正則匹配模式。比如“word”關(guān)鍵詞檢索、“^word”匹配以word開頭的行、“word$”匹配以word結(jié)尾的行……等等。

輸出以“r”開頭的用戶記錄：

輸出以“l(fā)ocalhost”結(jié)尾的行：

若希望在grep檢索式同時組合多個條件，比如輸出以“root”或者以“daemon”開頭的行：

而若若使用grep -E或egrep命令，可支持?jǐn)U展正則匹配模式，能夠自動識別 |、{} 等擴展正則表達(dá)式中的特殊字符，用起來更加方便，比如：

或者

使用grep -E 與 使用egrep命令完全等效，推薦使用后者，特別是涉及到復(fù)雜的正則表達(dá)式的時候。

2）grep、egrep命令的-q選項

選項 -q 表示 quiet（靜默）的意思，結(jié)合此選項可以只做檢索而并不輸出，通常在腳本內(nèi)用來識別查找的目標(biāo)是否存在，通過返回狀態(tài) $? 來判斷，這樣可以忽略無關(guān)的文本信息，簡化腳本輸出。

比如，檢查/etc/hosts文件內(nèi)是否存在192.168.4.4的映射記錄，如果存在則顯示“YES”，否則輸出“NO”，一般會執(zhí)行：

這樣grep的輸出信息和腳本判斷后的提示混雜在一起，用戶不易辨別，所以可以改成以下操作：

是不是清爽多了，從上述結(jié)果也可以看到，使用 -q 選項的效果與使用 /dev/null的效果類似。

3）基本元字符 ^、$ —— 匹配行首、行尾

輸出注釋的配置行（以#開頭的行）：

統(tǒng)計本地用戶中登錄Shell為“/sbin/nologin”的用戶個數(shù)：

提示: -m10僅在文件的前10行中過濾，后面的行不再過濾。

結(jié)合 -c 選項輸出匹配的行數(shù)

使用 -c 選項可輸出匹配行數(shù)，這與通過管道再 wc -l的效果是相同的，但是寫法更簡便。比如，統(tǒng)計使用“/bin/bash”作為登錄Shell的正常用戶個數(shù)，可執(zhí)行：

或者

4）基本元字符 . —— 匹配任意單個字符

以/etc/rc.local文件為例，確認(rèn)文本內(nèi)容：

輸出/etc/rc.local文件內(nèi)的空行（用 –v 選項將條件取反）：

5）基本元字符 +、?、 —— 目標(biāo)出現(xiàn)的次數(shù)*

還以/etc/rc.local文件為例：

輸出包括 f、ff、ff、……的行，即“f”至少出現(xiàn)一次：

輸出包括init、initial的行，即末尾的“ial”最多出現(xiàn)一次（可能沒有）：

輸出包括stu、stuf、stuff、stufff、……的行，即末尾的“f”可出現(xiàn)任意多次，也可以沒有。重復(fù)目標(biāo)只有一個字符時，可以不使用括號：

輸出所有行，單獨的“.*”可匹配任意行（包括空行）：

輸出/etc/passwd文件內(nèi)“r”開頭且以“nologin”結(jié)尾的用戶記錄，即中間可以是任意字符：

6）元字符 {} —— 限定出現(xiàn)的次數(shù)范圍

創(chuàng)建一個練習(xí)用的測試文件：

輸出包括ababab的行，即“ab”連續(xù)出現(xiàn)3次：

輸出包括abab、ababab、abababab的行，即“ab”連續(xù)出現(xiàn)2~4次：

輸出包括ababab、abababab、……的行，即“ab”最少連續(xù)出現(xiàn)3次：

7）元字符 [] —— 匹配范圍內(nèi)的單個字符

還以前面的測試文件bracet.txt為例：

輸出包括abc、abd的行，即前兩個字符為“ab”，第三個字符只要是c、d中的一個就符合條件：

輸出包括大寫字母的行，使用[A-Z]匹配連續(xù)范圍：

8）單詞邊界匹配

以文件/etc/rc.local為例：

輸出包括單詞“init”的行，文件中“initialization”不合要求：

或者：

輸出包括以“l(fā)l”結(jié)尾的單詞的行，使用 匹配單詞右邊界：

或者：

9）多個條件的組合

通過dmesg啟動日志查看藍(lán)牙設(shè)備、網(wǎng)卡設(shè)備相關(guān)的信息：

如何在Linux上用命令查詢是否被DDOS攻擊

服務(wù)器出現(xiàn)緩慢的狀況可能由很多事情導(dǎo)致，比如錯誤的配置，腳本和差的硬件。但是有時候它可能因為有人對你的服務(wù)器用DoS或者DDoS進(jìn)行洪水攻擊。

如何在Linux上使用netstat命令查證DDOS攻擊

DoS攻擊或者DDoS攻擊是試圖讓機器或者網(wǎng)絡(luò)資源不可用的攻擊。這種攻擊的攻擊目標(biāo)網(wǎng)站或者服務(wù)通常是托管在高防服務(wù)器比如銀行，信用卡支付網(wǎng)管，甚至根域名服務(wù)器，DOS攻擊的實施通常迫使目標(biāo)重啟計算機或者消耗資源，使他們不再提供服務(wù)或者妨礙用戶，訪客訪問。

在這篇小文章中，你可以知道在受到攻擊之后如何在終端中使用netstat命令檢查你的服務(wù)器。

一些例子和解釋

netstat -na顯示所有連接到服務(wù)器的活躍的網(wǎng)絡(luò)連接netstat -an | grep :80 | sort只顯示連接到80段口的活躍的網(wǎng)絡(luò)連接,80是http端口,這對于web服務(wù)器非常有用,并且對結(jié)果排序.對于你從許多的連接中找出單個發(fā)動洪水攻擊IP非常有用netstat -n -p|grep SYN_REC | wc -l這個命令對于在服務(wù)器上找出活躍的SYNC_REC非常有用,數(shù)量應(yīng)該很低,最好少于5.在dos攻擊和郵件炸彈,這個數(shù)字可能非常高.然而值通常依賴于系統(tǒng),所以高的值可能平分給另外的服務(wù)器.netstat -n -p | grep SYN_REC | sort -u列出所有包含的IP地址而不僅僅是計數(shù).netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'列出所有不同的IP地址節(jié)點發(fā)送SYN_REC的連接狀態(tài)netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n使用netstat命令來計算每個IP地址對服務(wù)器的連接數(shù)量netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n列出使用tcp和udp連接到服務(wù)器的數(shù)目netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr檢查ESTABLISHED連接而不是所有連接,這可以每個ip的連接數(shù)netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1顯示并且列出連接到80端口IP地址和連接數(shù).80被用來作為HTTP

如何緩解DDoS攻擊

當(dāng)你發(fā)現(xiàn)攻擊你服務(wù)器的IP你可以使用下面的命令來關(guān)閉他們的連接：

iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT

請注意你必須用你使用netstat命令找到的IP數(shù)替換$IPADRESS

在完成以上的命令，使用下面的命令殺掉所有httpd連接，清除你的系統(tǒng)，然后重啟httpd服務(wù)。

killall -KILL httpd service httpd start #For Red Hat systems /etc/init/d/apache2 restar

Linux系統(tǒng)用netstat命令查看DDOS攻擊具體命令用法如下：

代碼如下:netstat -na

顯示所有連接到服務(wù)器的活躍的網(wǎng)絡(luò)連接

代碼如下:netstat -an | grep :80 | sort

只顯示連接到80段口的活躍的網(wǎng)絡(luò)連接,80是http端口,這對于web服務(wù)器非常有用,并且對結(jié)果排序.對于你從許多的連接中找出單個發(fā)動洪水攻擊IP非常有用

代碼如下:netstat -n -p|grep SYN_REC | wc -l

這個命令對于在服務(wù)器上找出活躍的SYNC_REC非常有用,數(shù)量應(yīng)該很低,最好少于5.

在dos攻擊和郵件炸彈,這個數(shù)字可能非常高.然而值通常依賴于系統(tǒng),所以高的值可能平分給另外的服務(wù)器.

代碼如下:netstat -n -p | grep SYN_REC | sort -u

列出所有包含的IP地址而不僅僅是計數(shù).

代碼如下:netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'

列出所有不同的IP地址節(jié)點發(fā)送SYN_REC的連接狀態(tài)

代碼如下:netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

使用netstat命令來計算每個IP地址對服務(wù)器的連接數(shù)量

代碼如下:netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

列出使用tcp和udp連接到服務(wù)器的數(shù)目

代碼如下:netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

檢查ESTABLISHED連接而不是所有連接,這可以每個ip的連接數(shù)

代碼如下:netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1

顯示并且列出連接到80端口IP地址和連接數(shù).80被用來作為HTTP

如何緩解ddos攻擊

當(dāng)你發(fā)現(xiàn)攻擊你服務(wù)器的IP你可以使用下面的命令來關(guān)閉他們的連接：

代碼如下:iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT

請注意你必須用你使用netstat命令找到的IP數(shù)替換$IPADRESS