（文章來源：中國西部數(shù)碼）

云服務(wù)器怎么查看被攻擊？有時候云服務(wù)器出現(xiàn)異常，有可能是人為操作不當(dāng)引起的，也有可能是系統(tǒng)被黑客入侵了。這里我們介紹下可以通過以下方面來檢測云服務(wù)器是否被攻擊了。

檢查系統(tǒng)登陸日志，統(tǒng)計IP重試登陸的次數(shù)。對于惡意登陸的系統(tǒng)行為，在日志中會留下蛛絲馬跡，通過檢查系統(tǒng)登陸日志，統(tǒng)計重試登陸的次數(shù)，能看到哪些IP及哪些用戶在惡意登陸系統(tǒng)。# lastb root | awk '{print $3}' | sort | uniq -c | sort -nr| more。

檢查系統(tǒng)用戶，對于入侵行為，往往通過檢查系統(tǒng)用戶，可以發(fā)現(xiàn)一些痕跡，比如有沒有異常新增用戶及提權(quán)用戶。通過對系統(tǒng)用戶的檢查，是檢測服務(wù)器攻擊的重要方面。

1 查看是否有異常的系統(tǒng)用戶，cat /etc/passwd；2 檢查是否有新用戶尤其是UID和GID為0的用戶，awk -F":" '{if($3 == 0){print $1}}' /etc/passwd。

檢查是否存在空口令賬戶，awk -F: '{if(length($2)==0) {print $1}}' /etc/passwd，檢查系統(tǒng)異常進程，對于被入侵的系統(tǒng)，可以通過查看進程，確認有哪些異常非系統(tǒng)及非業(yè)務(wù)的進程在運行，通過對這些異樣進程的檢查，查找惡意程序的來源。

1 使用ps -ef命令查看進程，ps -ef，尤其注意UID為root的進程；2 查看該進程所打開的端口和文件，lsof -p pid；3 檢查隱藏進程，ps -ef | awk '{print $2}'| sort -n | uniq >1; ls /proc |sort -n|uniq >2;diff -y -W 40 1 2。

西部數(shù)碼的云服務(wù)器安全穩(wěn)定，具備多重安全防護功能，比如 DDOS高防、CC安全防護、云監(jiān)控、安全組、云網(wǎng)盾等，能有效攔截98%以上的黑客掃描和入侵行為，極大增強云主機的安全性。
? ? ? ?