Comment dépanner l'intrusion du serveur cloud Linux

Vérifiez l'utilisateur actuellement connecté

Entrez w ou who, vous pouvez voir qu'il n'y a qu'un seul utilisateur connecté actuellement. Normalement, vous êtes le seul connecté. Si ce n'est pas le même utilisateur, le mieux est de vérifier.

Vérifiez la connexion réseau

commande netstat -anp pour vérifier la connexion réseau actuelle. S'il n'y a pas de netstat, installez sudo apt install net-tools et vérifiez à nouveau

Vérifiez si les ports communs tels que 22,445,3389,6379 sont anormalement connectés et vérifiez la connexion. Si l'adresse connectée est une adresse IP d'un pays étranger ou d'un fournisseur de cloud, vous pouvez vérifier les informations IP sur Weibu ou d'autres plates-formes de renseignement. Vérifiez le processus avec ps -ef pour voir si. il y a des anomalies ou si vous rencontrez quelque chose que vous ne comprenez pas. Vous pouvez vérifier le processus en ligne pour les connexions qui ne peuvent pas être déterminées à partir de netstat, vous pouvez également vérifier les informations de processus correspondantes via l'identifiant du processus ps -ef|grep id, localisez les fichiers pertinents, analysez si les fichiers ont un comportement malveillant ou téléchargez-les sur des plateformes de détection en ligne telles que virustotal pour inspection si le fichier est dangereux.

Vérifier les commandes historiques

.bash_history enregistre les commandes saisies, vous pouvez vérifier s'il y a des commandes qui n'ont pas été saisies par vous-même

Vérifier les informations du compte

/etc/passwd Afficher les informations du compte

Vérifier tâches planifiées

crontab -l

Vérifiez le journal de connexion

Exécutez last ou lastlog pour afficher le journal de connexion récent de l'utilisateur

Vérifiez le journal de connexion ssh pour voir s'il y a un grand nombre de messages d'échec de connexion

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!