本指南中所謂的服務(wù)器被入侵或者說(shuō)被黑了的意思，是指未經(jīng)授權(quán)的人或程序?yàn)榱俗约旱哪康牡卿浀椒?wù)器上去并使用其計(jì)算資源，通常會(huì)產(chǎn)生不好的影響。

    免責(zé)聲明：若你的服務(wù)器被類似 NSA 這樣的國(guó)家機(jī)關(guān)或者某個(gè)犯罪集團(tuán)入侵，那么你并不會(huì)注意到有任何問(wèn)題，這些技術(shù)也無(wú)法發(fā)覺(jué)他們的存在。

    然而，大多數(shù)被攻破的服務(wù)器都是被類似自動(dòng)攻擊程序這樣的程序或者類似“腳本小子”這樣的廉價(jià)攻擊者，以及蠢蛋罪犯所入侵的。

    這類攻擊者會(huì)在訪問(wèn)服務(wù)器的同時(shí)濫用服務(wù)器資源，并且不怎么會(huì)采取措施來(lái)隱藏他們正在做的事情。

    被入侵服務(wù)器的癥狀

    當(dāng)服務(wù)器被沒(méi)有經(jīng)驗(yàn)攻擊者或者自動(dòng)攻擊程序入侵了的話，他們往往會(huì)消耗 100% 的資源。他們可能消耗 CPU 資源來(lái)進(jìn)行數(shù)字貨幣的采礦或者發(fā)送垃圾郵件，也可能消耗帶寬來(lái)發(fā)動(dòng) DoS 攻擊。

    因此出現(xiàn)問(wèn)題的第一個(gè)表現(xiàn)就是服務(wù)器 “變慢了”。這可能表現(xiàn)在網(wǎng)站的頁(yè)面打開(kāi)的很慢，或者電子郵件要花很長(zhǎng)時(shí)間才能發(fā)送出去。

    那么你應(yīng)該查看那些東西呢？

    檢查 1 – 當(dāng)前都有誰(shuí)在登錄？

    你首先要查看當(dāng)前都有誰(shuí)登錄在服務(wù)器上。發(fā)現(xiàn)攻擊者登錄到服務(wù)器上進(jìn)行操作并不復(fù)雜。

    其對(duì)應(yīng)的命令是 w。運(yùn)行 w 會(huì)輸出如下結(jié)果：

    08：32：55 up 98 days,  5：43,  2 users,  load average： 0.05, 0.03, 0.00

    USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT

    root     pts/0    113.174.161.1    08：26    0.00s  0.03s  0.02s ssh root@coopeaa12

    root     pts/1    78.31.109.1      08：26    0.00s  0.01s  0.00s w

    第一個(gè) IP 是英國(guó) IP，而第二個(gè) IP 是越南 IP。這個(gè)不是個(gè)好兆頭。

    停下來(lái)做個(gè)深呼吸, 不要恐慌之下只是干掉他們的 SSH 連接。除非你能夠防止他們?cè)俅芜M(jìn)入服務(wù)器，否則他們會(huì)很快進(jìn)來(lái)并踢掉你，以防你再次回去。

    請(qǐng)參閱本文最后的“被入侵之后怎么辦”這一章節(jié)來(lái)看找到了被入侵的證據(jù)后應(yīng)該怎么辦。