云服务器被黑怎么办

检查系统异常文件

​对于被入侵的系统，通过检查系统异常文件可以追踪入侵的信息，比如检查SUID的文件、一些空格文件等。

1 检查一下 SUID的文件

# find / -uid 0 -perm 4000 -print

2 检查大于10M的文件

# find / -size +10000k –print

3 检查空格文件

# find / -name “…” –print  # find / -name “.. ” –print  # find / -name “. ” –print  # find / -name ” ” –print

4 检查系统中的core文件

# find / -name core -exec ls -l {} （）

检查系统文件的完整性

​系统文件的完整性是入侵检测的重要方面，尤其通过对一些常用系统命令的md5值检查，可以判断系统是否被入侵，比如ls,ping等这些常用命令被恶意程序篡改后，我们在执行这些系统命令时，实际上在执行恶意程序。

1 检查linux系统文件的完整性

尤其注意以下几个目录 /sbin,/bin,/usr/bin

例如：  # whereis ls  # md5sum /usr/bin/ls

当然也可以写成脚本的形式，对批量生成系统文件md5值与正常系统做比对，如果md5值与正常系统不一样。那说明你的系统可能被入侵了。

2 利用工具AIDE检查系统文件的完整性

​通过手动检查系统文件的md5方面，效率不是很高，可以通过AIDE软件来辅助检查系统文件的完整性，该软件的具体使用方法详见官方文档

检查网络

​网络方面通过检查网卡的是不是处于混杂模式，检查系统中网络监听的端口，对于一些非系统，非业务的端口尤其是要重点关注。

1 检查网卡模式

# ip link | grep PROMISC（正常网卡不该在promisc混杂模式，可能存在sniffer）  网卡处于混杂模式，这样通过网卡的流量都会被监听

2 检查恶意程序开放的端口及打开的文件

#netstat -ntlup  #lsof -i: 端口号

文章教程参考来源：头条号老王谈运维

提示：现在腾讯云新人点击注册然后实名认证后，可以点此一键领取2860元代金券，然后点此进入腾讯云活动页面参加优惠力度非常大的腾讯云3年和5年时长服务器活动，一次性买多年，免得续费贵，这样就可以获得最大的优惠折扣，省钱。