Les symptômes de la compromission du serveur Linux et que faire?
Le serveur envahi consommera des ressources très élevées, en particulier le processeur. Vous pouvez utiliser cette machine pour extraire, envoyer du spam et consommer de la bande passante pour lancer des attaques DOS.
Performances: le serveur ralentit. Si la page Web est en cours d'exécution (le service d'application Web est en cours d'exécution), le site Web s'ouvre lentement.
ps aux Afficher les informations de processus de manière statique.
Affichage dynamique supérieur des informations de
charge de la machine charge moyenne x, x, x cpu 1 5 15 minutes de charge moyenne
J'ai été connecté à la machine par un pirate informatique, que faites-vous?
W Vérifiez qui s'est connecté au serveur au cours de la
dernière période en cours Vérifiez qui s'est connecté au serveur avant
Vérifiez les commandes historiques et voyez ce que les méchants ont fait? (Historique)
vim ~ /.bash_history
ls -a (afficher les fichiers cachés)
S'il est supprimé, si vous rencontrez un maître, vérifiez attentivement la machine.
Vérifiez quels processus consomment du processeur (trouvez les plus élevés), -sort
vérifiez la connexion réseau et
ne partez pas pour le moment Effrayez le serpent, laissez tomber le méchant.
Effectuez immédiatement un renforcement de la sécurité,
comme la modification du port SSH et l'interdiction de la connexion à distance root. pkill -u kill -9
interdit la connexion à distance root: ajoutez un utilisateur ordinaire et
augmentez les privilèges ps aux --sort -% mem | head -6 | grep -v USER pour
afficher les 5 processus avec la plus grande utilisation de mémoire, sans la description de la première ligne Information
vue dynamique supérieure
ps aux | vue moins statique
ps -ef | moins
utilisation de la mémoire libre -m view
ps aux ps -ef Afficher les informations de processus de manière statique.
Top dynamic affiche l'état de charge de la machine
charge moyenne x, x, x cpu 1 5 15 minutes en moyenne
gratuit -m
sed -ri s / ^ # baseurl / baseurl / g /etc/yum.repos.d/CentOS-Base.repo
sed -ri s / ^ liste des miroirs / # liste des miroirs / g /etc/yum.repos.d/CentOS-Base.repo
yum -y installer httpd installer le service httpd
systemctl redémarrage httpd start
ps aux | grep httpd view httpd process
ps aux | less page view process
space q
yum -y install lsof
lsof -i: 22 view port command
lsof -i: 80 view httpd 80 port command
kill -9 PID
pkill -u zhangsan
pkill httpd
ps aux --sort -% cpu | less Afficher le processus qui utilise le plus le processeur de cette machine
ps aux --sort -% cpu | head -6 | grep -v USER
view process tri CPU, les 6 premières lignes de filtrage sont inversées (reverse matching)
yum -y install psmisc-22.20-16.el7.x86_64
killall httpd Tuez tous les processus pour afficher l'historique, qui s'est connecté au serveur.
bash_history
w
dernier
Inspection
PS le AUX --sort - 3DF -h
1, le service d'application est normal.
1 Regardez le port de processus ps aux lsof -i: 22
2 L'utilisation du processeur et du mem.
ps aux --sort-
3 utilisation de l'espace disque de la machine
free-m
df -h
1 Veuillez dire la commande pour afficher le processus de la machine et le port
ps aux | less
top
ps -ef
lsof -i: numéro de port
2 Écrivez la commande linux que vous connaissez maintenant
pwd
ls
cat head tail plus
cd
ll ll -d
chattr +/- a , i nom de fichier / répertoire
lsattr
chown nom d'utilisateur nom de fichier
chgrp
chmod
useradd
groupadd
usermod
lsof -i: 22
top
ps aux
userdel
groupdel
3 Que faire si un méchant arrive sur votre machine?
W Vérifiez qui s'est connecté au serveur la
dernière fois Vérifiez qui s'est connecté au serveur auparavant.
Passez en revue les commandes historiques et voyez ce que les méchants ont exécuté
vim ~ /.bash_history
ls -a (afficher les fichiers cachés)
S'il est supprimé, vous rencontrez un maître, avec soin Vérifier la machine
Vérifier quels processus consomment le CPU (trouver les plus élevés), -sort
vérifier la connexion réseau
N'ayez pas peur en ce moment, T laissez tomber les méchants.
Effectuez immédiatement le renforcement de la sécurité (comme la modification du port SSH et l'interdiction de la connexion à distance root.
Pkill -u
kill -9
interdit la connexion à distance root: ajoutez un utilisateur normal et augmentez les privilèges)
4 Triez l'utilisation de la mémoire de la machine, du plus grand au plus petit
ps aux --sort -% cpu | less
5 Tuez un seul processus
kill -9 PID
6 Que dois-je faire si la commande lsof n'est pas installée et que lsof n'est pas disponible?
sed -ri s / ^ # baseurl / baseurl / g /etc/yum.repos.d/CentOS-Base.repo
sed -ri s / ^ mirrorlist / # mirrorlist / g /etc/yum.repos.d/CentOS-Base .repo
install Commande lsof
yum -y install lsof
7 Votre machine virtuelle ne peut pas être connectée, que devez-vous faire?
Afficher le processus d'affichage IP Afficher l'état du service
8 Quelle est la différence entre l'inversion de grep et l'ignorance de la casse?
grep -v mot-clé
grep -i "Mm"
9 Configurez le service httpd pour qu'il démarre automatiquement au démarrage.
systemctl enable httpd
10 En savoir plus sur le modèle de serveur et les paramètres de configuration de base (Dell Dell) à voir sur l'
hôte de serveur rack Jingdong Dell (DELL) R740 2U (version de mise à niveau R730) Un seul bronze 3204 06 core 1.9G | 495W 1 mémoire 16G grand public | 1.2T 10K 2 | H330
11 a expulsé les utilisateurs de zhangsan.
pkill -u zhangsan
12 Voir le port 22 8080 de cette machine
lsof -i: 22
lsof -i: 8080
13 Quelle est la configuration du serveur cloud public? Comment payer? Quelle est la bande passante du réseau?
Un processeur 1 cœur, mémoire 4G, bande passante 1M, version System Centos 7.6
Abonnement annuel et abonnement mensuel
14 Quel cloud public avez-vous utilisé? ?
Tencent Cloud Alibaba Cloud Baidu Cloud Huawei Cloud
15 Découvrez les 2 processus qui occupent le plus de CPU de la machine. Après 10 minutes d'écriture dans /tmp/load.txt, continuez à trouver les 2 processus qui occupent le plus de mémoire et continuez à écrire dans le fichier load.txt.
ps aux --sort -% cpu | head -2 | grep -v USER> / tmp load.txt
ps aux --sort -% mem | head -2 | grep -v USER >> / tmp load.txt