Linux雲端伺服器入侵怎麼排查

檢查目前登入使用者

輸入w或who，就可以看到目前只有一個使用者登錄，正常情況下只有你一個人登錄，如果不是一個最好排查下。

檢查網路連接

netstat -anp指令查看目前網路連接，如果沒有netstat，就安裝sudo apt install net-tools再查看

檢查22,445,3389,6379等常見連接埠是否異常連接，檢查connect連接的位址是否為國外或雲端廠商的ip，可以在微步或其它的情報平台，查詢該ip的資訊

檢查進程

ps -ef 檢查進程，是否有異常，遇到不懂的進程可以上網查一下，從netstat中無法判斷的連接也可以透過進程id查看相應進程信息ps -ef|grep id,定位相關文件，分析文件是否有惡意行為，或之間上傳virustotal等線上檢測平台檢查文件是否有害。

檢查歷史命令

.bash_history記錄了輸入過的命令，可以檢查是否有不是自己輸入的命令

檢查帳號資訊

/etc/passwd查看帳號資訊

檢查定時任務

crontab -l

檢查登入日誌

執行last或lastlog查看使用者最近登入日誌

查看ssh登入日誌，是否有大量的登入失敗資訊

以上是Linux雲端伺服器入侵怎麼排查的詳細內容。更多資訊請關注PHP中文網其他相關文章！