如何使用Linux查看系统被攻击情况？ (linux查看 被攻击)

在当今互联网时代，网络安全问题越来越重要。特别是对于Linux系统的用户来说，需要了解系统是否存在被攻击的风险。本文将介绍如何使用Linux系统查看系统被攻击情况，以及如何采取措施保障系统安全。

一、基础命令

1.who

“who”命令可以查看当前登录的用户和IP地址。使用如下命令：

“`

who

“`

示例输出：

“`

user1 pts/0 2023-03-22 11:23 (192.168.0.1)

user2 pts/1 2023-03-22 12:07 (192.168.0.2)

“`

2.last

“last”命令可以查看最近的登录信息，如何使用如下命令：

“`

last

“`

示例输出：

“`

user1 pts/0 2023-03-22 11:23 (192.168.0.1)

user2 pts/1 2023-03-22 12:07 (192.168.0.2)

user1 pts/0 2023-03-21 09:58 (192.168.0.1)

“`

3.history

“history”命令可以查看最近执行的命令，如何使用如下命令：

“`

history

“`

示例输出：

“`

1 who

2 last

3 history

“`

二、基础工具

1.netstat

“netstat”命令可以查看当前的网络状态，包括TCP和UDP。使用如下命令：

“`

netstat -nap

“`

示例输出：

“`

(Not all processes could be identified, non-owned process info

will not be shown, you would have to be root to see it all.)

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1169/sshd

tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1294/master

tcp 0 0 192.168.0.13:22 192.168.0.1:54092 ESTABLISHED 2314/sshd: ktangl

“`

2.top

“top”命令可以查看系统中运行的进程和各进程占用的系统资源，如何使用如下命令：

“`

top

“`

示例输出：

“`

top – 06:31:52 up 2 days, 3:11, 1 user, load average: 0.00, 0.00, 0.00

Tasks: 125 total, 1 running, 124 sleeping, 0 stopped, 0 zombie

%Cpu(s): 0.0 us, 0.0 sy, 0.0 ni,100.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st

KiB Mem : 3917968 total, 2388080 free, 674488 used, 856400 buff/cache

KiB Swap: 8592380 total, 8592380 free, 0 used. 3119204 avl Mem

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND

24788 root 20 0 666816 13012 9792 S 0.7 0.3 0:00.08 sshd

1 root 20 0 164972 5736 4032 S 0.0 0.1 0:05.76 systemd

2 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kthreadd

3 root 20 0 0 0 0 S 0.0 0.0 0:01.19 ksoftirqd/0

“`

三、安全工具

1.auditd

“auditd”是Linux的安全审计服务，可以记录所有系统事件，包括登录、文件访问和系统启动。安装auditd：

“`

yum install audit audit-libs audit-libs-python auditd-python

“`

并创建一个新的审计规则：

“`

sudo auditctl -w /etc/passwd -p war -k password-file

“`

这将监视/etc/passwd文件的所有写入、附加和读取操作，并记录事件到日志文件中。日志文件通常位于/var/log/audit/audit.log。

2.tcpdump

“tcpdump”命令允许用户捕获网络数据包，并将它们输出到控制台或文件中。使用如下命令：

“`

sudo tcpdump -n -i eth0 -w captured-packets.pcap

“`

该命令监视“eth0”网络接口的所有数据包，并输出到名为“captured-packets.pcap”的文件中。

3.nmap

“nmap”是一款用于网络探测和安全评估的开源工具。使用如下命令：

“`

nmap -v -A

“`

该命令显示远程主机的详细信息，包括开放的端口号和运行的服务列表。

四、