如何检查有哪些尝试入侵服务器IP?有哪些命令?
相信在用云服务器建站之后的维护过程中,检查服务器是否被入侵是每一个站长都会特别关注的事项。我自己用的是小鸟云香港云服务器(性能还是比较稳定的),有免费防御提供也可以自己调高防御,最近有一次被ddos攻击,还好峰值在防御的范围内,属于有惊无险,找技术的时候也很热心帮忙解决问题https://www.niaoyun.com/#/?utm_source=phpc-1203
。出于安全考虑(以防万一),我还是整理了一些检查服务器是否被入侵的小方法,仅供参考。
一、安装杀毒软件(例如:360安全卫士、火绒安全,电脑管家),更新最新病毒库,进行杀毒扫描;或者是使用webshell查杀工具进行后门木马查杀(D盾、河马)。
二、像我在用小鸟云windows服务器建站的过程中,需要对外开放一些端口,常见的比如:
1.HTTP协议代理服务器常用端口号:80/8080/3128/8081/9080
2.SOCKS代理协议服务器常用端口号:1080
3.FTP(文件传输)协议代理服务器所开放的端口,用于上传、下载:21
4.SSH(安全登录)、SCP(文件传输)、端口重定向,默认的端口号为22/tcp。
5.TELNET(远程登录)协议代理服务器所开放的端口,用于从本地远程登录对方电脑,进行操作:23
6.SMTP服务器所开放的端口,用于发送邮件:25
7.POP服务器所开放的端口,用于接收邮件:110
8.Microsoft的SQL数据库服务开放的端口:1433
9.MYSQL数据库服务开放的端口:3306
所以,在检查时重点关注网站服务器是否存在弱口令的用户,有没有对外开放的端口,如果存在弱口令,立即更改。
检查异常端口:
cmd中输入netstat命令查看网络连接,查看已经建立的连接(ESTABLISHED)
netstat -ano #目前的所有网络连接
netstat查出来的可疑连接的PID,通过 tasklist 命令进行进程定位 ,可以查看到文件名称
tasklist | findstr "PID"
查看windows服务所对应的端口(有利于排查可疑进程)
%systemroot%/system32/drivers/etc/services(一般 %systemroot% 就是 C:\Windows 路径
三、注意隐藏用户
1.如果我们使用net user命令查看系统账户信息,是看不到隐藏账号;
2.进执行命令 net user xx查看 xx 用户详细信息,注意 guest 用户是否启用,很多情况下狡猾的红队并不会添加用户,而是启用 guest 用户;
3.执行命令net user hacker$ 123456 /add创建了一个隐藏的账号 hacker(账号名以$结尾的为隐藏账号),net user是查看不到隐藏账号的;
4.运行 Win+R--->lusrmgr.msc,通过本地用户和组的管理页面(或者“计算机管理”)的可以查看到隐藏账户;
5.删除可疑账户(net user hacker$ /del)。
四、ubuntu查看尝试登录服务器的ip,一般用来查看攻击ip来源:
grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more
centos查看尝试登录服务器的ip,一般用来查看攻击ip来源:
cat /var/log/secure | awk '/Failed/{print $(NF-3)}'| sort| uniq -c| awk '{print $2"="$1;}'
然后将以上ip加入/etc/hosts.deny 文件,格式:all:114.115.116.117
来源:https://www.niaoyun.com/docs/16500.html/?utm_source=phpc-1203
Linux服务器系统被DDOS和CC攻击的解决方法可以参考:https://www.niaoyun.com/docs/15901.html/?utm_source=phpc-1203
上一篇: php如何查询返回记录数