如何排查服务器是否被攻击?
攻击迹象检测
| 检测项 | 操作命令/方法 | 风险说明 |
|---|---|---|
| 异常进程 | top -c 或 ps auxf 查看CPU/内存占用高的进程 |
挖矿程序常驻占满CPU |
| 可疑连接 | `netstat -antp | grep ESTAB` 检查外联IP(重点关注俄/美等境外IP) |
| 文件篡改 | find / -name "*.php" -mtime -1 查找24小时内修改的PHP文件 |
后门文件常伪装为正常脚本 |
| 登录失败 | grep "Failed password" /var/log/auth.log 统计SSH爆破尝试 |
弱密码易被攻破 |
防御措施
mermaid
graph TD A[确认攻击] --> B[隔离服务器] B --> C[杀毒+删除后门] C --> D[修复漏洞] D --> E[恢复监控]- Rootkit查杀:
rkhunter --check - 网络流量分析:
tcpdump -i eth0 port 80 -w attack.pcap
更新时间:2025-06-21 16:32:40