Überprüfen Sie den aktuell angemeldeten Benutzer
Geben Sie „w“ oder „who“ ein. Sie können sehen, dass derzeit nur ein Benutzer angemeldet ist. Normalerweise sind Sie der einzige angemeldete Benutzer. Wenn es sich nicht um denselben Benutzer handelt, es ist am besten, dies zu überprüfen.
Überprüfen Sie die Netzwerkverbindung.
netstat -anp-Befehl, um die aktuelle Netzwerkverbindung zu überprüfen. Wenn kein Netstat vorhanden ist, installieren Sie sudo apt install net-tools und prüfen Sie erneut.
Überprüfen Sie, ob gemeinsame Ports wie 22.445.3389.6379 vorhanden sind sind ungewöhnlich verbunden und prüfen Sie, ob es sich bei der verbundenen Adresse um eine IP aus einem anderen Land oder um einen Cloud-Anbieter handelt. Sie können die IP-Informationen auf Weibu oder anderen Geheimdienstplattformen überprüfen. Überprüfen Sie den Vorgang mit ps -ef Wenn es Unregelmäßigkeiten gibt oder Sie auf etwas stoßen, das Sie nicht verstehen, können Sie den Prozess online überprüfen. Bei Verbindungen, die nicht über Netstat ermittelt werden können, können Sie die entsprechenden Prozessinformationen auch über die Prozess-ID ps -ef|grep id überprüfen. Lokalisieren Sie relevante Dateien, analysieren Sie, ob die Dateien schädliches Verhalten aufweisen, oder laden Sie sie zur Überprüfung auf Online-Erkennungsplattformen wie virustotal hoch.
Historische Befehle überprüfen
.bash_history zeichnet die eingegebenen Befehle auf. Sie können überprüfen, ob Befehle vorhanden sind, die nicht von Ihnen selbst eingegeben wurden.
Kontoinformationen überprüfen.
/etc/passwd Kontoinformationen anzeigen. Überprüfen Geplante Aufgaben
crontab -l
Überprüfen Sie das Anmeldeprotokoll.
Führen Sie last oder lastlog aus, um das letzte Anmeldeprotokoll des Benutzers anzuzeigen
Das obige ist der detaillierte Inhalt vonSo beheben Sie das Eindringen in einen Linux-Cloud-Server. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
