web服务器被攻击，从哪些日志，或者现象可以看出来？

如果服务器（网站）被入侵了,一般都是服务器或者网站存在漏洞，被黑客利用并提权入侵的，导致服务器中木马，网站被挂黑链，被篡改，被挂马。解决办法：如果程序不是很大，可以自己比对以前程序的备份文件，然后就是修复，或者换个服务器，最好是独立服务器。也可以通过安全公司来解决，国内也就Sinesafe和绿盟等安全公司 比较专业

以下几种方法检测linux服务器是否被攻击：
1、检查系统密码文件
首先从明显的入手，查看一下passwd文件，ls –l /etc/passwd查看文件修改的日期。
2、查看一下进程，看看有没有奇怪的进程
重点查看进程：ps –aef | grep inetd inetd是UNIX系统的守护进程，正常的inetd的pid都比较靠前，如果看到输出了一个类似inetd –s
/tmp/xxx之类的进程，着重看inetd
–s后面的内容。在正常情况下，LINUX系统中的inetd服务后面是没有-s参数的，当然也没有用inetd去启动某个文件；而solaris系统中
也仅仅是inetd
–s，同样没有用inetd去启动某个特定的文件；如果使用ps命令看到inetd启动了某个文件，而自己又没有用inetd启动这个文件，那就说明已经有人入侵了系统，并且以root权限起了一个简单的后门。
3、检查系统守护进程
检查/etc/inetdconf文件，输入：cat /etc/inetdconf | grep –v “^#”，输出的信息就是这台机器所开启的远程服务。
一般入侵者可以通过直接替换inxxx程序来创建一个后门，比如用/bin/sh 替换掉intelnetd，然后重新启动inetd服务，那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。
4、检查网络连接和监听端口
输入netstat -an，列出本机所有的连接和监听的端口，查看有没有非法连接。
输入netstat –rn，查看本机的路由、网关设置是否正确。
输入 ifconfig –a，查看网卡设置。
5、检查系统日志
命令last |
more查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程，这已经成为入侵者攻击的重要目标。入侵者通常会停止系
统的syslog，查看系统syslog进程的情况，判断syslog上次启动的时间是否正常，因为syslog是以root身份执行的，如果发现
syslog被非法动过，那说明有重大的入侵事件。
在linux下输入ls –al /var/log
检查wtmp utmp，包括messgae等文件的完整性和修改时间是否正常，这也是手工擦除入侵痕迹的一种方法。
6、检查系统中的core文件
通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法，典型的RPC攻击就是通过这种方式。这种方式有一定的成功率，也就是说并不能
100%保证成功入侵系统，而且通常会在服务器相应目录下产生core文件，全局查找系统中的core文件，输入find / -name core
–exec ls –l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为。
7、检查系统文件完整性
检查文件的完整性有多种方法，通常通过输入ls –l
文件名来查询和比较文件，这种方法虽然简单，但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在LINUX下可以用rpm –V
`rpm –qf 文件名`
来查询，查询的结果是否正常来判断文件是否完整。在LINUX下使用rpm来检查文件的完整性的方法也很多，这里不一一赘述，可以man
rpm来获得更多的格式。

1命令行法。
2批处理法。
上述方法需要手工输入命令且如果Web服务器IP连接太多看起来比较费劲，我们可以建立一个批处理文件，
3查看系统日志。
上面的DDOS攻击软件两种方法有个弊端，只可以查看当前的DDOS攻击软件CC攻击，对于确定Web服务器之前
您好以上方法都检测是否被攻击的，如果受到攻击的话，最好能使用高防服务器。群英高防不错的

常见的攻击类型有：CC、DDoS、80端口、ARP攻击。
1、CC攻击：CC攻击的最大特点就是攻击者会控制N多台“肉鸡”（也叫僵尸机）同时访问您的网站或应用，使系统资源迅速耗尽，导致系统卡顿或死机。（CPU内存使用率异常）
2、DDoS攻击：最常见的大流量攻击，浪费您的服务器带宽资源，通常会导致网站不法正常打开，或打卡速度非常慢。
3、80端口攻击：攻击者会通过80端口潜入到您的服务器中，可以通过关闭不常用的端口来解决，也可以修改默认端口号，能起到一定的保护作用。遇到端口攻击时只有一个办法，就是拔网线。目前还没有更好的解决方法。
4、ARP攻击：ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。
常见的也就这些了。流量攻击可以归总到DDoS攻击里。
海腾-张毅龙为您解答，希望能够帮到您。

DDOS攻击借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。
如果受到了DDoS攻击，一般有以下几种表现：
1、服务器连接不到，网站也打不开
如果网站服务器被大量DDoS攻击时，有可能会造成服务器蓝屏或者死机，这时就意味着服务器已经连接不上了，网站出现连接错误的情况。
2、服务器CPU被大量占用
DDoS攻击其实是一种恶意性的资源占用攻击，攻击者利用肉鸡或者攻击软件对目标服务器发送大量的无效请求，导致服务器的资源被大量的占用，因而正常的进程没有得到有效的处理，这样网站就会出现打开缓慢的情况。如果服务器某段时期能突然出现CPU占用率过高，那么就可能是网站受到CC攻击影响。
3、服务器带宽被大量占用
占用带宽资源通常是DDoS攻击的一个主要手段，毕竟对很多小型企业或者个人网站来说，带宽的资源可以说非常有限，网络的带宽被大量无效数据给占据时，正常流量数据请求很很难被服务器进行处理。如果服务器上行带宽占用率达到90%以上时，那么你的网站通常出现被DDoS攻击的可能。
4、域名ping不出IP
域名ping不出IP这种情况站长们可能会比较少考虑到，这其实也是DDoS攻击的一种表现，只是攻击着所针对的攻击目标是网站的DNS域名服务器。在出现这种攻击时，ping服务器的IP是正常联通的，但是网站就是不能正常打开，并且在ping域名时会出现无法正常ping通的情况。
如果经常发生DDoS攻击，对于网站来说是比较危险的，因此要重视DDOS攻击。防御DDoS攻击，可以使用安全狗来防护。
（摘抄）

---