服务器被入侵的常见迹象有哪些?
🚨 服务器被入侵的常见迹象
🟢 一、系统和资源异常
-
CPU、内存或网络流量异常飙高
-
即使没有业务负载,资源长期占满。
-
-
磁盘空间突然被写满
-
可疑大文件或日志暴涨。
-
-
系统负载显著升高
-
uptime、top显示 load average 异常。
-
🟡 二、进程和登录异常
-
出现陌生或异常的进程
-
比如名字像“kthreadd”、“crypto”、“minerd”等伪装挖矿进程。
-
-
出现未知用户或root权限账户
-
/etc/passwd被新增账号。
-
-
登录记录异常
-
last或/var/log/secure出现未知IP或不常用时间登录。
-
-
SSH公钥被篡改
-
~/.ssh/authorized_keys中多了陌生公钥。
-
🟠 三、文件和配置被改动
-
系统二进制文件被替换
-
如
ps、netstat、top被Rootkit替换。
-
-
Web目录出现未知脚本
-
webshell木马(如cmd.php、shell.jsp)。
-
-
防火墙或SELinux规则被修改
-
安全策略被关闭。
-
-
定时任务被添加
-
crontab出现可疑定时执行脚本。
-
🔴 四、网络行为异常
-
对外大流量连接
-
如与某些陌生IP持续连接。
-
-
服务器被用作攻击源
-
发起DDoS或扫描。
-
-
端口监听异常
-
netstat -tulnp发现非常规端口监听。
-
⚫ 五、日志和告警
-
安全日志缺失或被清空
-
/var/log/secure、auth.log丢失。
-
-
出现告警或安全厂商通知
-
云服务平台提示“您的实例被检测到可疑行为”。
-
-
杀毒或安全软件失效
-
安装的安全代理无响应。
-
🛡️ 如何初步排查
✅ 查看登录记录
last -a cat /var/log/secure
✅ 查看进程
ps aux --sort=-%cpu
✅ 查看开放端口
netstat -tulnp
✅ 查看定时任务
crontab -l ls /etc/cron.*
✅ 检查新增账户
cat /etc/passwd