判断Linux系统是否被入侵，你需要几步？9个小技巧分享！

对于在线运行的业务系统，安全性是一个至关重要的问题。服务器被入侵最常见的表现有：由内向外发送大量数据包(被DDOS肉鸡)、服务器资源被耗尽(被挖矿)、不正常的端口连接(反向shell)、服务器日志被恶意删除等..排除Linux系统管理员操作不当的情况，如何检测自己的系统是否被入侵呢?下面跟大家简单分享实用的几个小技巧~

一、检查系统日志

1.1 检查系统登陆日志，统计IP重试登陆的次数。

对于恶意登陆的系统行为，在日志中会留下蛛丝马迹，通过检查系统登陆日志，统计重试登陆的次数，能看到哪些IP及哪些用户在恶意登陆系统。

# lastb root | awk '{print $3}' | sort | uniq -c | sort -nr| more 

说明：

lastb命令，该命令需要root权限，可以显示所有登陆信息，也可以显示指定用户的信息，后面直接跟相关的用户即可。

二、检查系统用户

​对于入侵行为，往往通过检查系统用户，可以发现一些蛛丝马迹，比如有没有异常新增用户及提权用户。通过对系统用户的检查，是入侵检测的重要方面。

2.1 查看是否有异常的系统用户

cat /etc/passwd 

2.2 检查是否有新用户尤其是UID和GID为0的用户

awk -F":" '{if($3 == 0){print $1}}' /etc/passwd 

2.3 检查是否存在空口令账户

awk -F: '{if(length($2)==0) {print $1}}' /etc/passwd 

三、检查系统异常进程

​对于被入侵的系统，可以通过查看进程，确认有哪些异常非系统及非业务的进程在运行，通过对这些异样进程的检查，查找恶意程序的来源。

3.1 使用ps -ef命令查看进程

ps -ef 

尤其注意UID为root的进程

3.2 查看该进程所打开的端口和文件

lsof -p pid 

3.3 检查隐藏进程

ps -ef | awk '{print $2}'| sort -n | uniq >1; ls /proc |sort -n|uniq >2;diff -y -W 40 1 2 

说明：

lunux所有的进程在/proc均有记录，需要注意，这里的信息是最详细。

四、检查系统异常文件

​对于被入侵的系统，通过检查系统异常文件，可以追踪入侵的信息，比如检查一下SUID的文件，一些空格文件等。

4.1 检查一下 SUID的文件

# find / -uid 0 -perm 4000 -print 

4.2 检查大于10M的文件

# find / -size +10000k –print 

4.3 检查空格文件

# find / -name “…” –print 
# find / -name “.. ” –print 
# find / -name “. ” –print 
# find / -name ” ” –print 

4.4 检查系统中的core文件

# find / -name core -exec ls -l {} () 

（编辑：ASP站长网）