几条判断Linux服务器是否被入侵的技巧

检查 1 - 当前都有谁在登录?

你首先要查看当前都有谁登录在服务器上。发现攻击者登录到服务器上进行 *** 作并不复杂。

其对应的命令是 w。运行 w 会输出如下结果：

08:32:55 up 98 days, 5:43, 2 users, load average: 0.05, 0.03, 0.00

USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT

root pts/0113.174.161.108:260.00s 0.03s 0.02s ssh root@

coopeaa12

root pts/178.31.109.1 08:260.00s 0.01s 0.00s w

第一个 IP 是英国 IP，而第二个 IP 是越南 IP。这个不是个好兆头。

停下来做个深呼吸, 不要恐慌之下只是干掉他们的 SSH 连接。除非你能够防止他们再次进入服务器，否则他们会很快进来并踢掉你，以防你再次回去。

请参阅本文最后的“被入侵之后怎么办”这一章节来看找到了被入侵的证据后应该怎么办。

whois 命令可以接一个 IP 地址然后告诉你该 IP 所注册的组织的所有信息，当然就包括所在国家的信息。

检查 2 - 谁曾经登录过?

Linux 服务器会记录下哪些用户，从哪个 IP，在什么时候登录的以及登录了多长时间这些信息。使用 last 命令可以查看这些信息。

输出类似这样：

root pts/178.31.109.1 Thu Nov 30 08:26 still logged in

root pts/0113.174.161.1Thu Nov 30 08:26 still logged in

root pts/178.31.109.1 Thu Nov 30 08:24 - 08:26 (00:01)

root pts/0113.174.161.1Wed Nov 29 12:34 - 12:52 (00:18)

root pts/014.176.196.1 Mon Nov 27 13:32 - 13:53 (00:21)

这里可以看到英国 IP 和越南 IP 交替出现，而且最上面两个 IP 现在还处于登录状态。如果你看到任何未经授权的 IP.

 新客户于最近向我们SINE安全公司咨询，说他的服务器经常卡的网站无法打开，远程连接

服务器的慢的要命，有时候PING值都达到300-500之间，还经常掉包，听客户这么一说，一般

会判断为受到了CC+DDOS混合流量攻击，再具体一问，说是机房那面没有受到流量攻击，这

就有点奇怪了，不是流量攻击，还导致服务器卡，网站无法打开，这是什么攻击？为了解决客

户服务器卡的问题，我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。

 

SSH远程登录客户的Linux服务器，查看当前的进程发现有一个特别的进程占用了百分之100

的CPU，而且会持续不断的占用，我们查了查该进程，发现不是linux的系统进程，我们对进程

的目录进行查看，发现该进程是一个木马进程，再仔细进行安全分析，才确定是目前最新的挖

矿木马病毒，挖的矿分很多种，什么比特币，什么罗门币的，太多太多，看来现在的挖矿技术

扩展到了入侵服务器进行肉鸡挖矿了。

挖矿木马的检测与清除

 

我们在系统的目录下发现了挖矿木马主要是以 Q99.sh命名的文件来控制客户的linux服务器，看

里面写的代码是以root权限运行，并自动启动计划任务，当服务器重启时继续执行计划任务，

导致客户怎么重启都于事无补，还是卡的要命。该木马代码还调用了一些Linux系统命令，bashe

bashd来挖矿，该命令是最直接也是占用CPU到顶峰的关键，太粗鲁了，这样的挖矿本身就会让

客户发现问题，看来挖矿者只顾着赚钱，不考虑长久之道了。

 

挖矿木马还设计了挖矿进程如果被客户强制停止后，会自动启动继续挖矿，达到不间断的挖矿，

仔细检查发现是通过设置了每个小时执行任务计划，远程下载shell挖矿木马，然后执行，检查

当前进程是否存在，不存在就启动挖矿木马，进行挖矿。

对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据，以及感染蠕虫的病

毒，如果数据被加密那损失大了，客户是做平台的，里面的客户数据很重要，找出挖矿木马后，

客户需要知道服务器到底是如何被攻击的？ 被上传挖矿木马的？ 防止后期再出现这样的攻击

状况。

通过我们安全工程师的安全检测与分析，发现该服务器使用的是apache tomcat环境，平台的开

发架构是JSP+oracle数据库，apache tomcat使用的是2016年的版本，导致该apache存在严重

的远程执行命令漏洞，入侵者可以通过该漏洞直接入侵服务器，拿到服务器的管理员权限，

SINE安全工程师立即对apache 漏洞进行修复，并清除木马，至此问题得以解决，客户服务器

一切稳定运行，网站打开正常。

1、可以从测试Linux安全漏洞开始，可以使用的工具有NetScanTools Pro(支持Windows)或者Kali Linux。NetScanTools Pro可进行端口扫描，识别特定版本的Linux和运行服务，还可以执行其他一些测试，如DNS、电子邮件甚至Linux系统发送的数据包。Kali Linux可以执行几乎所有的漏洞扫描，也可以作为渗透测试工具和取证分析工具。这两款工具都能很好地帮助你发现和解决Linux安全漏洞。

2、还可以使用传统的商业网络漏洞扫描器，如Nexpose和LanGuard等对Linux系统进行扫描。这两款工具容易使用，并且在较短的时间内就可以发现很多漏洞。一些好用的，老式的手动分析工具也比较推荐，如Tiger、Linux Security Auditing Tool和Bastille UNIX等等。

3、对Linux系统的安全性检查不应该是一次性事件。相反，应该是包括所有 *** 作系统、应用程序和网络系统在内的整体安全测试程序的一部分。

---