如何看Linux服务器是否被攻击?
以下几种方法检测linux服务器是否被攻击:\x0d\x0a1、检查系统密码文件 \x0d\x0a首先从明显的入手,查看一下passwd文件,ls _l /etc/passwd查看文件修改的日期。 \x0d\x0a2、查看一下进程,看看有没有奇怪的进程 \x0d\x0a\x0d\x0a重点查看进程:ps _aef | grep inetd inetd是UNIX系统的守护进程,正常的inetd的pid都比较靠前,如果看到输出了一个类似inetd _s \x0d\x0a/tmp/.xxx之类的进程,着重看inetd \x0d\x0a_s后面的内容。在正常情况下,LINUX系统中的inetd服务后面是没有-s参数的,当然也没有用inetd去启动某个文件;而solaris系统中\x0d\x0a也仅仅是inetd \x0d\x0a_s,同样没有用inetd去启动某个特定的文件;如果使用ps命令看到inetd启动了某个文件,而自己又没有用inetd启动这个文件,那就说明已经有人入侵了系统,并且以root权限起了一个简单的后门。\x0d\x0a3、检查系统守护进程 \x0d\x0a检查/etc/inetd.conf文件,输入:cat /etc/inetd.conf | grep _v “^#”,输出的信息就是这台机器所开启的远程服务。 \x0d\x0a一般入侵者可以通过直接替换in.xxx程序来创建一个后门,比如用/bin/sh 替换掉in.telnetd,然后重新启动inetd服务,那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。\x0d\x0a4、检查网络连接和监听端口 \x0d\x0a输入netstat -an,列出本机所有的连接和监听的端口,查看有没有非法连接。 \x0d\x0a输入netstat _rn,查看本机的路由、网关设置是否正确。 \x0d\x0a输入 ifconfig _a,查看网卡设置。 \x0d\x0a5、检查系统日志 \x0d\x0a命令last | \x0d\x0amore查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程,这已经成为入侵者攻击的重要目标。入侵者通常会停止系\x0d\x0a统的syslog,查看系统syslog进程的情况,判断syslog上次启动的时间是否正常,因为syslog是以root身份执行的,如果发现\x0d\x0asyslog被非法动过,那说明有重大的入侵事件。 \x0d\x0a在linux下输入ls _al /var/log \x0d\x0a检查wtmp utmp,包括messgae等文件的完整性和修改时间是否正常,这也是手工擦除入侵痕迹的一种方法。 \x0d\x0a6、检查系统中的core文件 \x0d\x0a通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法,典型的RPC攻击就是通过这种方式。这种方式有一定的成功率,也就是说并不能\x0d\x0a100%保证成功入侵系统,而且通常会在服务器相应目录下产生core文件,全局查找系统中的core文件,输入find / -name core \x0d\x0a_exec ls _l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为。\x0d\x0a7、检查系统文件完整性 \x0d\x0a检查文件的完整性有多种方法,通常通过输入ls _l \x0d\x0a文件名来查询和比较文件,这种方法虽然简单,但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在LINUX下可以用rpm _V \x0d\x0a`rpm _qf 文件名` \x0d\x0a来查询,查询的结果是否正常来判断文件是否完整。在LINUX下使用rpm来检查文件的完整性的方法也很多,这里不一一赘述,可以man \x0d\x0arpm来获得更多的格式。
如何判断自己的服务器是否被流量攻击?
酷酷云为您解答~
1、检查网站后台服务器发现大量无用的数据包;
2、服务器主机上有大量等待的TCP连接;
3、网络流量出现异常变化突然暴涨;
4、大量访问源地址是虚假的;
5、当发现Ping超时或丢包严重时,且同一交换机上的服务器也出现了问题,不能进行正常访问;
流量攻击如何防御?
1.扩充服务器带宽
服务器的网络带宽直接决定服务器承受攻击能力。所以在选购服务器时,可以加大服务器网络带宽。
2.使用硬件防火墙
部分硬件防火墙基于包过滤型防火墙修改为主,只在网络层检查数据包,若是DDoS攻击上升到应用层,防御能力就比较弱了。
3.选用高性能设备
除了使用硬件防火墙。服务器、路由器、交换机等网络设备的安全性能也需要有所保证。
4.负载均衡
负载均衡建立在现有网络结构之上,它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性,对DDoS流量攻击和CC攻击都很见效。
5.筛查系统漏洞
要定期筛查系统漏洞,及早发现系统漏洞,及时安装系统补丁。同时针对重要信息(如系统配置信息)做好备份。
6.限制特定的流量
如遇到流量异常时,应及时检查访问来源,并做适当的限制。以防止异常、恶意的流量来袭。主动保护网站安全。
7.选购高防服务器
高防服务器可以帮助网站拒绝服务攻击,而且高防服务器可以定时扫描现有的网络主节点,还可查找可能存在的安全漏洞的服务器类型∞
酷酷云服务器为您诚意解答,服务器租户的选择,酷酷云值得信赖。
服务器的三大攻击是什么?
服务器,也称伺服器,是提供计算服务的设备。由于服务器需要响应服务请求,并进行处理,因此一般来说服务器应具备承担服务并且保障服务的能力。服务器的构成包括处理器、硬盘、内存、系统总线等,和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。网络环境下,根据服务器提供的服务类型不同,分为文件服务器,数据库服务器,应用程序服务器,WEB服务器等。 1.DDOS攻击: (1)这是网络中最普遍的攻击类型,衍生了很多其他的攻击类型,但是,其原理都是通过多台肉鸡发送大量合法的请求占用大量服务资源,以达到瘫痪网络或者服务器死机的目的。其中SYN Flood洪水攻击利用TCP协议的缺陷,发送大量伪造的TCP连接请求,即在第2次握手前断开连接,使服务器端出于等待响应的状态,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。 (2)TCP全连接攻击则是通过大量的肉机不断地和目标服务器建立大量的TCP连接,由于TCP连接数是有限的,很容易使服务器的内存等资源被耗尽而被拖跨,从而使服务器造成拒绝服务。这种攻击可以绕过一般防火墙,但是需要大量的肉机,并且由于肉机的IP是暴露的,也非常容易被追踪。 (3)刷Script脚本攻击主要针对ASP、JSP、PHP、CGI等脚本程序。其原理是和服务器建立正常的TCP连接,同时不断向服务器提交查询列表等大量消耗数据库资源的调用指令,从而拖垮服务器。预防的主流办法有三种。一是防火墙,也有网关防火墙和路由型防火墙之分。可以抵御大部分的DDOS攻击。再就是CDN加速,把这些攻击分散到镜像服务器上,从而使这些攻击无法对服务器产生过多的影响。最后就是流量清洗,部署专业的设备和方案,对数据流量实时监控,清洗掉异常的流量。
2.CC攻击: (1)攻击者控制肉机不停地发大量数据包给目标服务器,从而造成服务器资源耗尽或网络拥堵。CC可以模拟多个用户不停地进行访问那些需要大量数据操作的页面(数据查询,论坛),造成服务器资源的浪费,由于这些IP都是真实的,数据包也正常,请求都是有效的请求,服务器无法拒绝,从而让CPU长时间处于满载的专题。 (2)永远都有处理不完的请求排队,直到正常的访问被中止。预防CC攻击的办法有:把网站尽量做成静态页面、限制连接的数量、修改超时时间、以及分析可疑IP。
3.ARP欺骗:这类攻击则主要是以窃取用户账户数据资料为目的,通过伪造IP地址和MAC物理地址实现欺骗,也能够在网络中产生大量的ARP通信量使网络阻塞。主要发生在区域网内,攻击者通过发布错误的ARP广播包,阻断正常的网络通信,而且还将自己的电脑伪装成他人的电脑,原本是要发往他人的数据,被发到了入侵者的电脑上,从而达到窃取用户账户数据资料的目的。预防ARP欺骗的方法有:安装专业的杀毒软件、绑定IP和MAC地址。
0条大神的评论