这里简单介绍一下吧，主要从5个方面来判断服务器是否被入侵，感兴趣的朋友可以尝试一下：

01

查看当前登录用户

这种方式最简单也最基本，查看当前登录服务器的用户，如果有异常用户或IP地址正在登录，则说明服务器很可能被入侵，命令的话，使用w，who，users等都可以：

02

查看历史登录记录

服务器会记录曾经登录过的用户和IP，以及登录时间和使用时长，如果有异常用户或IP地址曾经登录过，就要注意了，服务器很可能被入侵，当然，对方为了掩盖登录，会清空/var/log/wtmp日志文件，要是你运行了last命令，只有你一个人登录，而你又从来没清空过记录，说明被入侵了：

03

查看特别消耗CPU进程

一般情况下，服务器被入侵后，对方通常会执行一些非常消耗CPU任务或程序，这时你就可以运行top命令，查看进程使用CPU的情况，如果有异常进程非常消耗CPU，而你又从来没有执行过这个任务，说明服务器很可能被入侵了：

04

检查所有系统进程

消耗CPU不严重或者未经授权的进程，一般不会在top命令中显示出来，这时你就需要运行“ps auxf”命令检查所有系统进程，如果有异常进程在后台悄悄运行，而你又从来没有执行过，这时就要注意了，服务器很可能被入侵了：

05

查看端口进程网络连接

通常攻击者会安装一个后门程序（进程）专门用于监听网络端口收取指令，该进程在等待期间不会消耗CPU和带宽，top命令也难以发现，这时你就可以运行“netstat -plunt”命令，查看当前系统端口、进程的网络连接情况，如果有异常端口开放，就需要注意了，服务器很可能被入侵：

目前，就分享这5个方面来判断服务器是否被入侵，当然，服务器如果已经被入侵，你就需要赶在对方发现你之前夺回服务器的控制权，然后修改密码、设定权限、限定IP登录等，网上也有相关教程和资料，介绍的非常详细，感兴趣的话，可以搜一下，希望以上分享的内容能对你有所帮助吧，也欢迎大家评论、留言进行补充。

如何检查服务器是否被入侵，这个不是一句两句能够说得清楚的，因为入侵包括的范围是相当的大的。单靠自己对服务器的一些手动上的基本分析是有一定难度的。基本上大的服务器服务提供运营商一般都会有自己的防御体系和完善的日志，这些系统监控和安全日志即使作为安全人员来说全部看懂，也是非常海量的，因此很多时候都是有着自己的防御系统会进行定期分析，并且会有各种风险操作的评估和提示，但是作为网络运维人员和安全管理人员一般的检查思维是通过如下步骤进行的。

一、检查系统的密码文件

查看一下passwd文件，尤其是查看passwd当中是否有一些特权用户，一般系统中Uid为0的用户特权权限较高，可能会存在拿到控制权的可能性，但是能到这一步，我觉得这个入侵的黑客也太傻了，居然还给你留个你能看到的账户。另外还有查看空口令账号，一把这些账号都是用来提升权限用的。

二、就是查看一下进程，看看有没有特殊的进程，最好用进程分析工具来协助分析

一般网络运维人员不论是win系统还是linux运维，系统进程是必须要分析的，因为有些木马工具和病毒都会有自己的进程，隐藏比较深的病毒和木马会将自己的线程挂到正常的进程下面，因此要善于应用进程分析工具。比如inetd进程，需要重点查看，看看是否有用这个进程去启动一些奇怪的程序，一旦有基本上都是被入侵了。

三、检查网络连接和监听端口

检查网络连接和对各个监听端口的分析，也是必须要走的程序。比如：

• 输入netstat -an，列出本机所有的连接和监听的端口，查看有没有非法连接。

• 输入netstat –rn，查看本机的路由、网关设置是否正确。

• 输入 ifconfig –a，查看网卡设置。

四、检查系统日志

查看在正常情况下登录到本机的所有用户的历史记录，通过登录账户的时间和登录用户名可以判断是由于系统自身因鉴权或者其他操作登录，还是人为性质的登录，虽然登录日志比较多，但是也会为入侵分析带来一些辅助性的判断依据。一般情况下linux系统下输入在linux下输入ls –al /var/log，既可以看到登录操作日志，对了还要看下系统的syslog进程是否被停用了，因为如果但凡有点技术的黑客都会停止这个进程，来防止log记录。

五、.rhosts和

.forward

这是两种比较著名的后门文件，如果想检查你的系统是否被入侵者安装了后门，不妨全局查找这两个文件，分别进行这两个文件和正常内容的对比。一般要是于异常，说明你的系统已经被攻破。

六、检查系统文件完整性

检查文件的完整性有多种方法，通常我们通过输入ls –l 文件名来查询和比较文件。另外还有很多工具可以帮助你检查系统文件的完整性。另外网上也有很多运维网管写的shell脚本，直接运行脚本就可以很方便的检查系统文件的完整性的，大家可以去找找进行尝试。主要是通过检查读取每个文件的checksum值来判定。

七、内核级后门的检查

对于内核级后门的检查，一般情况下是比较麻烦的，除非你有着很好的技术手段，否则还不如我重新把系统干了重新安装呢。因为需要模块一个个的分析，非常麻烦，而且其关键文件隐藏的也比较深。

总之入侵分析是一个经验工作，只有你不断提升攻防技术和分析各种攻防实际案例，你才能更好的做好服务器入侵检测以及服务器安全防御，因此这既是一个枯燥的工作，还需要你长期不断学习，很多时候技术经验是非常有用的。

1.看进程，是否有CPU,内存使用异常的进程

2.查看有没有多余系统用户

3.查看有没有异常的开机启动程序

4.查看网卡流量有没有异常增加