（文章來(lái)源：中國(guó)西部數(shù)碼）

云服務(wù)器怎么查看被攻擊？有時(shí)候云服務(wù)器出現(xiàn)異常，有可能是人為操作不當(dāng)引起的，也有可能是系統(tǒng)被黑客入侵了。這里我們介紹下可以通過(guò)以下方面來(lái)檢測(cè)云服務(wù)器是否被攻擊了。

檢查系統(tǒng)登陸日志，統(tǒng)計(jì)IP重試登陸的次數(shù)。對(duì)于惡意登陸的系統(tǒng)行為，在日志中會(huì)留下蛛絲馬跡，通過(guò)檢查系統(tǒng)登陸日志，統(tǒng)計(jì)重試登陸的次數(shù)，能看到哪些IP及哪些用戶(hù)在惡意登陸系統(tǒng)。# lastb root | awk '{print $3}' | sort | uniq -c | sort -nr| more。

檢查系統(tǒng)用戶(hù)，對(duì)于入侵行為，往往通過(guò)檢查系統(tǒng)用戶(hù)，可以發(fā)現(xiàn)一些痕跡，比如有沒(méi)有異常新增用戶(hù)及提權(quán)用戶(hù)。通過(guò)對(duì)系統(tǒng)用戶(hù)的檢查，是檢測(cè)服務(wù)器攻擊的重要方面。

1 查看是否有異常的系統(tǒng)用戶(hù)，cat /etc/passwd；2 檢查是否有新用戶(hù)尤其是UID和GID為0的用戶(hù)，awk -F":" '{if($3 == 0){print $1}}' /etc/passwd。

檢查是否存在空口令賬戶(hù)，awk -F: '{if(length($2)==0) {print $1}}' /etc/passwd，檢查系統(tǒng)異常進(jìn)程，對(duì)于被入侵的系統(tǒng)，可以通過(guò)查看進(jìn)程，確認(rèn)有哪些異常非系統(tǒng)及非業(yè)務(wù)的進(jìn)程在運(yùn)行，通過(guò)對(duì)這些異樣進(jìn)程的檢查，查找惡意程序的來(lái)源。

1 使用ps -ef命令查看進(jìn)程，ps -ef，尤其注意UID為root的進(jìn)程；2 查看該進(jìn)程所打開(kāi)的端口和文件，lsof -p pid；3 檢查隱藏進(jìn)程，ps -ef | awk '{print $2}'| sort -n | uniq >1; ls /proc |sort -n|uniq >2;diff -y -W 40 1 2。

西部數(shù)碼的云服務(wù)器安全穩(wěn)定，具備多重安全防護(hù)功能，比如 DDOS高防、CC安全防護(hù)、云監(jiān)控、安全組、云網(wǎng)盾等，能有效攔截98%以上的黑客掃描和入侵行為，極大增強(qiáng)云主機(jī)的安全性。
? ? ? ?