如何排查linux云服务器入侵（Linux登录云服务器）

《Linux云服务器入侵如何故障排除》这篇文章的知识点大部分人都不理解，所以主机频道为大家总结了以下内容，内容详细，步骤清晰，具有一定的参考价值。希望你看完这篇文章后能有所收获。我们先来看看这篇文章《如何排除Linux云服务器入侵故障》。

检查当前登录的用户

输入w或who，可以看到目前只有一个用户登录。正常情况下，只有你一个人登录。如果不是一个，最好检查一下。

检查网络连接

netstat -anp命令检查当前的网络连接。如果没有netstat，请安装sudo来安装net-tools并再次检查。

检查22、445、3389、6379等常用端口是否连接异常，检查connect的地址是否为国外或云厂商的ip。您可以在微步或其他智能平台上查询此ip的信息。

检查流程

Ps -ef检查该过程以查看是否有任何异常。如果遇到不懂的流程，可以上网查。如果无法从netstat判断连接，也可以通过进程id查看对应的进程信息PS-ef | grep id，定位相关文件，分析文件是否为恶意文件，或者上传到virustotal等在线检测平台，检查文件是否有害。

检查历史命令

Bash_history记录输入的命令，因此您可以检查是否有您自己没有输入的命令。

检查账户信息

/etc/passwd查看帐户信息

检查定时任务

crontab -l

检查登录日志

执行last或lastlog查看用户最近的登录日志。

检查ssh登录日志，查看是否有大量登录失败信息。