🚨 服务器被入侵的常见迹象

🟢 一、系统和资源异常

1. CPU、内存或网络流量异常飙高

   • 即使没有业务负载，资源长期占满。

2. 磁盘空间突然被写满

   • 可疑大文件或日志暴涨。

3. 系统负载显著升高

   • uptime、top 显示 load average 异常。

---

🟡 二、进程和登录异常

1. 出现陌生或异常的进程

   • 比如名字像“kthreadd”、“crypto”、“minerd”等伪装挖矿进程。

2. 出现未知用户或root权限账户

   • /etc/passwd被新增账号。

3. 登录记录异常

   • last 或 /var/log/secure 出现未知IP或不常用时间登录。

4. SSH公钥被篡改

   • ~/.ssh/authorized_keys 中多了陌生公钥。

---

🟠 三、文件和配置被改动

1. 系统二进制文件被替换

   • 如ps、netstat、top被Rootkit替换。

2. Web目录出现未知脚本

   • webshell 木马（如cmd.php、shell.jsp）。

3. 防火墙或SELinux规则被修改

   • 安全策略被关闭。

4. 定时任务被添加

   • crontab出现可疑定时执行脚本。

---

🔴 四、网络行为异常

1. 对外大流量连接

   • 如与某些陌生IP持续连接。

2. 服务器被用作攻击源

   • 发起DDoS或扫描。

3. 端口监听异常

   • netstat -tulnp发现非常规端口监听。

---

⚫ 五、日志和告警

1. 安全日志缺失或被清空

   • /var/log/secure、auth.log丢失。

2. 出现告警或安全厂商通知

   • 云服务平台提示“您的实例被检测到可疑行为”。

3. 杀毒或安全软件失效

   • 安装的安全代理无响应。

---

🛡️ 如何初步排查

✅ 查看登录记录

last -a cat /var/log/secure

✅ 查看进程

ps aux --sort=-%cpu

✅ 查看开放端口

netstat -tulnp

✅ 查看定时任务

crontab -l ls /etc/cron.*

✅ 检查新增账户

cat /etc/passwd