检测服务器是否被黑客入侵是每个系统管理员的重要任务。以下是 10 个关键迹象，可以帮助你快速判断服务器是否可能已经被入侵，并采取相应的应对措施。

1. 未授权的登录行为

表现：

• 出现未知的登录 IP 地址或账户。
• 登录时间异常（如凌晨或非工作时间）。
• 多次失败的登录尝试。

检测方法：

1. 查看登录记录：
2. bash
3. 复制
4. # 查看最近的登录记录 last
5. 查看失败的登录记录：
6. bash
7. 复制
8. grep "Failed password" /var/log/secure # CentOS grep "Failed password" /var/log/auth.log # Ubuntu
9. 检查 SSH 登录日志：
10. bash
11. 复制
12. grep "Accepted" /var/log/secure

2. 异常的系统性能

表现：

• CPU、内存、磁盘 I/O 使用率异常升高。
• 服务器运行缓慢，响应时间变长。

检测方法：

1. 使用 top 或 htop 查看高资源占用的进程：
2. bash
3. 复制
4. top
5. 检查磁盘 I/O 使用：
6. bash
7. 复制
8. iotop
9. 检查系统负载：
10. bash
11. 复制
12. uptime

3. 可疑的网络流量

表现：

• 服务器向未知 IP 地址发送大量数据。
• 不明的外部连接占用带宽。

检测方法：

1. 查看所有活动连接：
2. bash
3. 复制
4. netstat -tulnp ss -tulnp # 更现代的工具
5. 检查网络使用情况：
6. bash
7. 复制
8. iftop
9. 使用 tcpdump 捕获和分析流量：
10. bash
11. 复制
12. tcpdump -i eth0

4. 新增的未知账户

表现：

• 服务器上出现未授权的用户账户。
• 某些账户的权限被提升至 root。

检测方法：

1. 查看系统用户列表：
2. bash
3. 复制
4. cat /etc/passwd
5. 检查是否有新创建的用户：
6. bash
7. 复制
8. lastlog
9. 查看 /etc/sudoers 文件，检查是否有异常权限提升。

5. 异常的运行进程

表现：

• 出现未知或可疑的进程。
• 某些进程占用异常高的资源。
• 发现隐藏的进程。

检测方法：

1. 列出所有运行进程：
2. bash
3. 复制
4. ps aux | grep <suspicious_process>
5. 检查进程的可执行文件路径：
6. bash
7. 复制
8. readlink -f /proc/<PID>/exe
9. 使用 lsof 查看进程打开的文件和网络连接：
10. bash
11. 复制
12. lsof -p <PID>

6. 系统文件被篡改

表现：

• 系统关键文件（如 /etc/passwd、/bin/ls）被修改。
• 文件的时间戳异常。

检测方法：

1. 使用 rpm 检查文件完整性（适用于基于 RPM 的系统）：
2. bash
3. 复制
4. rpm -Va
5. 使用 md5sum 检查文件哈希值：
6. bash
7. 复制
8. md5sum /path/to/file
9. 检查文件修改时间：
10. bash
11. 复制
12. find /etc -type f -mtime -1

7. 不明的计划任务

表现：

• 定时任务中出现未知或恶意脚本。
• 定时任务被用来反复执行恶意操作。

检测方法：

1. 检查用户的定时任务：
2. bash
3. 复制
4. crontab -l
5. 检查系统定时任务：
6. bash
7. 复制
8. cat /etc/crontab ls /etc/cron.*/*
9. 查看 at 任务：
10. bash
11. 复制
12. atq

8. 可疑的开放端口

表现：

• 服务器开启了不必要的端口。
• 某些端口被恶意程序监听。

检测方法：

1. 查看当前开放端口：
2. bash
3. 复制
4. netstat -tuln ss -tuln
5. 检查端口对应的进程：
6. bash
7. 复制
8. lsof -i :<port>

9. 日志文件异常

表现：

• 日志文件被清空或删除。
• 日志中出现大量未知的操作记录。

检测方法：

1. 查看关键日志文件：
2. bash
3. 复制
4. cat /var/log/secure cat /var/log/messages cat /var/log/auth.log
5. 查找日志中的异常行为：
6. bash
7. 复制
8. grep "sudo" /var/log/auth.log grep "error" /var/log/messages

10. 新增的可疑文件或后门程序

表现：

• 系统中出现未知的脚本、程序或文件。
• 某些文件隐藏在系统关键目录中（如 /tmp、/var）。

检测方法：

1. 查找最近修改或新增的文件：
2. bash
3. 复制
4. find / -type f -mtime -1
5. 检查 /tmp 和 /var 目录：
6. bash
7. 复制
8. ls -al /tmp
9. 使用 rkhunter 或 chkrootkit 检测后门程序：
10. bash
11. 复制
12. rkhunter --check chkrootkit

如何应对服务器入侵

如果确认服务器可能已被入侵，应快速采取以下措施：

1. 隔离服务器

• 立即断开服务器与网络的连接，以防止攻击进一步扩散。

2. 检查入侵路径

• 分析日志文件和进程，找出攻击的入口点（如弱密码、未修补的漏洞）。

3. 清除恶意文件

• 删除恶意文件、未知账户和计划任务。

4. 更新系统和应用

• 更新操作系统和所有应用程序，修补已知漏洞。

5. 强化安全措施

• 修改所有密码。
• 禁用密码登录，启用 SSH 密钥认证。
• 使用防火墙限制访问范围。

总结

入侵检测需要结合多种方法，以上 10 个关键迹象 可以帮助你快速发现服务器被攻破的可能性。通过实时监控、日志分析和定期安全审计，可以有效降低服务器被入侵的风险。