如何检查 Linux 服务器是否被黑客入侵

1 监控用户活动

2 检查系统进程

3 检查网络流量

4 检查 cron 作业

5 检查Rootkit感染

首先登录你的Linux服务器，通过命令“w”查看当前登录的用户。然后，进入https://www.iplocation.net/查看登录的IP地址。如果有陌生的IP，您的服务器可能被黑客入侵。

使用命令“last -10”可以查看最近登录系统的用户信息。

如果您怀疑特定用户有恶意活动，您可以检查 bash 历史记录。以您想要调查的用户身份登录并运行以下命令。

使用top命令可以查看占用CPU或内存超过30%的进程。如果不是您正在运行的进程，您的 Linux 服务器可能被植入了恶意程序。

通过命令“ps -aux”查看所有进程信息。

通过命令“lsof -p PID”检查进程打开的文件。请将PID替换为前两步中获取的可疑进程的PID号。

如果提示“-bash: lsof: command not found”错误，则需要安装lsof：
CentOS: yum install -y lsof
Ubuntu: sudo apt-get install -y lsof

使用命令“ll /proc/PID/exe”查看与可疑进程关联的exe文件。确保将 PID 替换为前两步中获取的可疑进程的 PID 号。如果您检测到任何可疑的脚本文件，那么您的 Linux 服务器可能已被黑客攻击。

使用命令“iftop -n -P”监控当前网络流量。

如果提示“-bash: iftop: command not found”错误，需要先安装iftop：
CentOS: yum install -y iftop
Ubuntu: sudo apt-get install -y iftop

第一列显示 localhost，=> 和 <= 分别表示流量传入和传出。有些后面跟着远程主机地址。
最后一列显示每个连接使用的带宽。
TX: 发送流量
RX: 接收流量
TOTAL: 总流量
Cum: 从运行 iftop 到当前时间的总流量
Peak: 峰值流量

通过运行命令“netstat -la”检查侦听和活动端口。

黑客可能会将 cron 计划任务放置在 /etc/crontab 中，从而定期运行恶意命令。使用以下命令查看当前用户正在运行的定时任务：

crontab -l

查看其他用户的计划任务：

crontab -u username -l

要查看每日、每小时、每周和每月的 cron 作业，请使用以下命令：

ls -la /etc/cron.hourly
ls -la /etc/cron.daily
ls -la /etc/cron.weekly
ls -la /etc/cron.monthly

编辑 cron 作业：

crontab -e
service crond restart

Rootkit 是对设备最危险的威胁之一。这可能会导致系统重新安装，甚至强制更换硬件。有一个简单的命令可以帮助我们检测最知名的rootkit，命令“chkrootkit”（检查rootkit）。

首先，我们需要安装chkrootkit。在 CentOS 上，运行以下命令：

cd ~
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvf chkrootkit.tar.gz
cd chkrootkit-*
make sense
./chkrootkit

在 Ubuntu 上，运行以下命令：

# apt-get update
# apt install chkrootkit -y
# chkrootkit