服务器被攻击怎么办

1.首先对当前主机的IP 以及IP地址，linux主机名称，主机的版本、当前时间，进行收集并记录到一个txt文档里。

2.接下来对当前主机的异常网络连接以及异常的系统进程检查，主要是通过netstat -an以及-antp命令来检查主机存在哪些异常的IP连接。

3.对连接的IP，进行归属地查询，如果是国外的IP，直接记录当前进程的PID值，并自动将PID的所有信息记录，查询PID所在的linux文件地址，紧接着检查当前占用CPU大于百分之30的进程，并检查该进程所在的文件夹。

4.对主机的启动项进行检查，有些主机被植入木马后门，即使重启主机也还是被攻击，木马会自动的启动，检查linux的init.d的文件夹里是否有多余的启动文件，也可以检查时间，来判断启动项是否有问题。

5.再一个要检查的地方是主机的历史命令，history很多主机被黑都会留下痕迹，比如SSH登录主机后，攻击者对主机进行了操作，执行了那些恶意命令都可以通过history查询的到，有没有使用wget命令下载木马，或者执行SH文件。

6.检查主机的所有账号，以及当前使用并登录的管理员账户，tty是本地用户登录，pst是远程连接的用户登录，来排查主机是否被攻击，也可以检查login.defs文件的uid值，判断uid的passwd来获取最近新建的管理员账户。执行cat etc/passwd 命令检查是否存在异常的用户账户，包括特权账户，UID值为0。

7.最重要的是检查主机的定时任务，定时任务删都删不掉。有些主机被黑后，请立即检查2天里被修改的文件，可以通过find命令去检查所有的文件，看是否有木马后门文件，如果有可以确定主机被黑了。

精选高品质数据中心搭建万兆集群，全新打造推出。高防数据中心通过T级带宽接入，单机最高可提供500G的恶意流量攻击防御与清洗需求，适用多类攻击，满足各类用户需求。

安全可靠的产品链接

提示：现在腾讯云新人点击注册然后实名认证后，可以点此一键领取2860元代金券，然后点此进入腾讯云活动页面参加优惠力度非常大的腾讯云3年和5年时长服务器活动，一次性买多年，免得续费贵，这样就可以获得最大的优惠折扣，省钱。