服务器突然变卡,半夜自动重启,还冒出陌生文件?这些是不是被入侵的信号?小编前阵子帮朋友处理过被挖矿程序入侵的服务器,从一脸慌乱到慢慢排查出问题,总结了些日志查看和异常排查的技巧,今天就说说怎么判断服务器是否被入侵,新手也能跟着做,一起往下看吧!
先看这些明显的异常,不用看日志也能发现
有些入侵痕迹很明显,先检查这些地方,能快速判断:
- 陌生文件或程序:服务器里突然多出 “mine”“coin” 开头的文件,十有八九是挖矿程序,朋友的服务器就有这情况,删了又冒出来,后来才发现是被入侵了;
- 带宽异常:平时带宽用 10M,突然飙到 90% 以上,还找不到对应的进程,可能是被用来转发数据,小编公司的服务器就遇到过,查了半天才发现是陌生进程在偷跑流量;
- 登录记录异常:远程桌面突然提示 “已有其他用户登录”,或者登录日志里有凌晨 3 点的陌生 IP,这时候就得警惕了,网友 “老周” 就是看到凌晨登录记录,才发现服务器被人远程控制过。
我们在使用的时候,每天花 5 分钟看看这些地方,能尽早发现问题,别等服务器瘫了才着急。
Windows 系统:从事件查看器里找入侵痕迹
Windows 的日志藏在 “事件查看器” 里,跟着小编一步步来:
步骤:打开事件查看器,盯紧这两个日志
- 右键 “此电脑”→“管理”→“事件查看器”→“Windows 日志”→“安全”;
- 找 “事件 ID 4625”:这是登录失败的记录,要是短时间内有几十条,来源 IP 还不一样,可能是有人在暴力破解密码,朋友的服务器一天出现 200 多条,就是被扫了;
- 找 “事件 ID 4688”:记录新进程创建,要是出现 “taskschd.exe”“powershell.exe” 之类的陌生进程,尤其是半夜创建的,得重点查,小编就是通过这个发现了挖矿程序的进程。
老服务器可能日志加载慢,等个十几秒很正常,别着急关掉。看的时候注意时间,凌晨、凌晨 3-5 点的异常记录,大概率是入侵行为。
Linux 系统:日志藏在这些文件里,用命令查更快
Linux 没图形界面,得用命令看日志,但记几个简单命令就行:
查登录记录:用 “last” 和 “lastb” 命令
- 打开终端,输入 “last”:能看到最近登录成功的用户和 IP,要是有陌生用户名(比如 “root” 之外的未知用户),或者外地 IP,就得小心;
- 输入 “lastb”:看登录失败的记录,要是同一 IP 失败几十次,就是有人在试密码,小编客户的 Linux 服务器用这个命令,查出有个美国 IP 试了 300 多次密码。
查系统日志:看 “/var/log/messages”
- 输入 “cat /var/log/messages | grep ‘error’”:过滤出错误信息,找 “Failed”“Denied” 之类的关键词,比如 “Failed to authenticate”(认证失败),可能是入侵尝试;
- 老服务器日志可能很大,加个 “| more” 分页看,比如 “cat /var/log/messages | grep ‘error’ | more”,不然一屏幕刷不完,小编第一次看的时候,信息太多直接懵了。
| 系统 | 查看登录记录 | 查看异常进程 | 日志路径 / 命令 |
|---|---|---|---|
| Windows | 事件查看器(安全日志 ID 4624/4625) | 任务管理器(进程标签) | 控制面板→管理工具→事件查看器 |
| Linux | last(成功)、lastb(失败) | ps -ef(查看所有进程) | /var/log/messages、/var/log/auth.log |
这些 “隐形” 异常也得注意,容易被忽略
服务器时间不对,或者时区被改
正常服务器时间会同步网络时间,要是突然快了几小时,或者时区从北京时间改成 UTC,可能是入侵者改的,方便避开监控。小编朋友的服务器就遇到过,时间被改成了纽约时区,查了半天才发现。
防火墙规则被篡改
Windows 防火墙突然关掉,或者 Linux 的 iptables 多了陌生规则(比如允许某个端口被任意 IP 访问),这时候得赶紧改回来。邻居的服务器就是防火墙被改,导致被植入后门,花了三天才清干净。
自问自答:发现异常后,该怎么办?
日志太多看不懂,有没有简单方法?
新手可以用关键词筛选:Windows 事件查看器搜 “失败”“未知”,Linux 日志搜 “Failed”“root”,重点看这些关键词对应的记录。小编刚开始也看不懂,用这方法很快找到了可疑记录。
发现被入侵,第一时间做什么?
先断网!拔掉网线或者在控制台禁用网卡,防止入侵者继续操作。然后备份重要数据,别忙着删文件,可能会破坏证据。朋友的服务器被入侵时,先断网再备份,最后重装系统,没丢数据。
能不能用工具帮着查?
可以试试 “火绒终端安全”“ClamAV” 这些工具,能自动扫描异常文件,比手动看日志快。但工具不是万能的,小编建议手动查一遍,双保险更放心。
最后说点实在的
小编觉得,查服务器是否被入侵,不能只靠日志,得结合异常现象(卡、陌生文件、时间不对)一起看。Windows 用户多盯事件查看器的安全日志,Linux 用户记好 last 和日志命令,每周花 10 分钟检查一次,能少踩很多坑。
发现异常别慌,先断网再处理,重要数据一定要定期备份,就算被入侵也能快速恢复。希望这些技巧能帮到你,服务器用得安心!
