文章大纲：

• 1、当公司里 Linux 系统被入侵了，应该怎么办
• 2、网站被入侵，网站渗透
• 3、几条判断Linux服务器是否被入侵的技巧
• 4、Linux服务器被入侵后怎么办
• 5、现在公司的一台linuxWEB服务器 收到攻击 发现服务器中的 两个WEB站点在不停地发包 导致CPU使用率过高

当公司里 Linux 系统被入侵了，应该怎么办

也说两句，因为自己有服务器，自己维护，也曾经被一个三流小屁孩用“中国菜刀”给杀进来了，之后对注入，一句话木马了解了一下，说说我的看法。

一般来说系统层面的入侵机率比较低，本身服务器系统是挺安全的，不管是windows还是Linux或Unix，真正能从系统层入侵的牛人其实不多的。就像去年暴出的open ssl漏洞，其实真正实施地来难度不小，而且入侵之后能得到什么有价值的数据也未必。

在中国网上有挺多收费学习所谓的“黑客技术”的机构，充其量就是傻瓜式的破坏者，花钱别人卖套工具给你，教会你怎么用怎么看数据，然后就是开着机器不断的扫IP/域名/扫漏洞，扫到了就进一步傻瓜式的破坏或为所欲为。

就以“中国菜刀”来说，一句话木马或注入测试比较多，进系统以后win可以上传asp，php网页工具，能做的事就多了（看了你会吃一惊），包括可以在网页运行cmd命令，知道这是啥吧。Linux有难度，因为权限相当严格，可能跨一级目录连读写权限都没有了。所以侵入Linux能破坏，想不到有什么其它好处，除非这个管理员水平真的太差了。

在Linux下运行shell脚本都是需要权限的，要运行exe程序如果没有wine和同类软件那是不可能的，那为什么Linux还要装杀毒软件，其实是杀上传文件的毒，并不是为Linux服务器杀毒，仅用于检查存储的文件安全而已。说了这么多，相信你能明白Linux服务器的弱项并非来自系统，更多可能来自于web代码或业务系统。

最后在上面的基础上来回答你的问题，做好以下几点，损失会很小，如果你什么也没做，那结果难讲了。

1，平时备份好数据，所有人都这么说，其实业务系统最重要的是数据，业务程序本身价值不大。

2，初次安装业务系统时就应该把业务系统代码备份一份，以便在重新搭建环境时能快递恢复。

3，有了以上两点，就算入侵者得到了root权限，rm -rf /也不用怕，能很快恢复业务环境，数据损失大小在于你最后一次备份。且得到root不是件容易的事，现实中很难做到这一步。

4，发现被入侵后，我的做法是马上拔网线，你技术再怎么牛B，网线一拔，电源你关，你来咬我啊？要知道电源开关的权限高于一切。

5，找原因，从上面说的一堆废话中可以看出，先不要怀疑系统，如果你跑的是电商，BBS，或带有搜索功能的web，且用的是大型开源系统，建议你先官网看看最新运态，有没有其它人一样中招，官方有没有发部补丁。有就及时更新。

6，如果是系统问题，也要及时更新补丁。但记住：web被入侵的机率远远高于系统几个数量级。

7，不管是Linux或是windows，都建议安装杀软和 *** 安全狗或知名防火墙， *** 安全狗更新更及时，效果我认为更好，对新的黑客技术的处理能力更强。

8，多余的提一下：如果是windows建议安装上还原软件，冰点（xp-win10），迅闪（2K3），很不错，只保护C盘，用于重启清除C盘被修改的地方，还原帐号，木马，病毒等。这个对Linux有点多余。被入后先重启电脑，断网再找原因。

9，Linux业务系统被入侵后，数据方面最多就是被删除或破坏不全，建议可以直接用。但业务系统的代码建议使用备份的复盖，你要知道web代码里可以插入ftp代码，工具代码，很难查出来，能干的事情又多。

其实那些Linux的服务器发行版默认设置的安全性都挺高的，多关心业务代码的安全性。至于被入侵后杀毒，我认为意义不大，入侵时杀软都没有发觉，入侵后再扫又能怎么样。还不如上面9点彻底。

网站被入侵，网站渗透

网站被渗透，被黑客入侵，一般都是由于网站代码以及服务器存在漏洞导致，建议对代码和服务器漏洞进行修复，或者是做网站安全加固，服务器安全加固，防止黑客的渗透，如果对代码和服务器不太懂的话，也可以找专业的网站安全公司来处理。

几条判断Linux服务器是否被入侵的技巧

检查 1 - 当前都有谁在登录?

你首先要查看当前都有谁登录在服务器上。发现攻击者登录到服务器上进行操作并不复杂。

其对应的命令是 w。运行 w 会输出如下结果：

08:32:55 up 98 days, 5:43, 2 users, load average: 0.05, 0.03, 0.00

USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT

root pts/0 113.174.161.1 08:26 0.00s 0.03s 0.02s ssh root@

coopeaa12

root pts/1 78.31.109.1 08:26 0.00s 0.01s 0.00s w

之一个 IP 是英国 IP，而第二个 IP 是越南 IP。这个不是个好兆头。

停下来做个深呼吸, 不要恐慌之下只是干掉他们的 SSH 连接。除非你能够防止他们再次进入服务器，否则他们会很快进来并踢掉你，以防你再次回去。

请参阅本文最后的“被入侵之后怎么办”这一章节来看找到了被入侵的证据后应该怎么办。

whois 命令可以接一个 IP 地址然后告诉你该 IP 所注册的组织的所有信息，当然就包括所在国家的信息。

检查 2 - 谁曾经登录过?

Linux 服务器会记录下哪些用户，从哪个 IP，在什么时候登录的以及登录了多长时间这些信息。使用 last 命令可以查看这些信息。

输出类似这样：

root pts/1 78.31.109.1 Thu Nov 30 08:26 still logged in

root pts/0 113.174.161.1 Thu Nov 30 08:26 still logged in

root pts/1 78.31.109.1 Thu Nov 30 08:24 - 08:26 (00:01)

root pts/0 113.174.161.1 Wed Nov 29 12:34 - 12:52 (00:18)

root pts/0 14.176.196.1 Mon Nov 27 13:32 - 13:53 (00:21)

这里可以看到英国 IP 和越南 IP 交替出现，而且最上面两个 IP 现在还处于登录状态。如果你看到任何未经授权的 IP.

Linux服务器被入侵后怎么办

1.拨掉网线这是最安全的断开链接的 *** ，除了保护自己外,也可能保护同网段的其他主机. 2.分析登录文件信息,搜索可能入侵的途径 被入侵后,决不是重新安装就可以了,还要分析主机被入侵的原因和途径,如果找出了问题点,就可能使您的主机以后更安全,同时也提高了自己的Linux水平. 1.分析登录文件:可以通过分析一些主要的登录文件找到对方的IP以及可能出现的漏洞.一般分析的文件为:/var/log/messages和/var/log/secure文件.还可以使用last命令找出最后一个登录者的信息. 2.检查主机开放的服务:很多Linux管理员不知道自己的主机上开放了多少服务,每个服务都有漏洞或不该启动的增强型或测试型功能.找出系统上的服务,逐个检查服务是否有漏洞或设置上的失误. 3.重要数据备份 所谓重要的数据就是非Linux上的原有数据.如/etc/passwd,/etc/shadow,WWW网页的数据,/home里的用户文件,至于/etc/*,/usr/,/var等目录下的数据就不要备份了. 4.系统重装重要的是选择合适的包,不要将所有的包都安装. 5.包漏洞修补 安装后,要立即更新系统包,更新后再设置防火墙机制,同时关闭一些不必要的服务,最后才插上网线. 6.关闭或卸载不需要的服务 启动的服务越少,系统入侵的可能性就越底 7.数据恢复与恢复服务设置 备份的数据要复制回系统,然后将提供的服务再次开放.7.将主机开放到 *** 上

现在公司的一台linuxWEB服务器 收到攻击 发现服务器中的 两个WEB站点在不停地发包 导致CPU使用率过高

服务器发包就是服务器向外发送流量，一般都是服务器被入侵了，才会向外发包。

为什么发包？ 黑客为的就是入侵你的服务器，利用服务器的宽带流量，来进行攻击别人。

如果服务器（网站）被入侵了,一般都是服务器或者网站存在漏洞，被黑客利用并提权入侵的，导致服务器中木马，网站被挂黑链，被篡改，被挂马。解决办法：如果程序不是很大，可以自己比对以前程序的备份文件，然后就是修复，或者换个服务器，更好是独立服务器。也可以通过安全公司来解决，国内也就Sinesafe和绿盟等安全公司 比较专业.