本文系轉載，轉載鏈接：如何檢測服務器是否被入侵？運維必看的5大異常指標

一、硬件資源異常監控

1.CPU使用率異常波動

• 非業務高峯時段（如凌晨2:00-4:00）出現持續90%以上負載
• 可疑進程特徵：隨機字符命名的進程（如x7j9k、mh32d等）
• 排查工具推薦：使用top命令實時監控，配合nmon進行歷史數據分析

2.內存佔用異常攀升

• 駐留內存型病毒特徵：常偽裝為內核線程（kworker/*）或常見服務進程
• 典型案例：某電商平台內存使用率從35%突增至92%，經檢測發現內存中駐留加密劫持代碼
• 檢測建議：定期進行memtest86+硬件測試，使用smem分析內存分配詳情

二、網絡流量異常分析

1.異常外聯行為識別

• 高危端口特徵：頻繁連接6667(IRC)、8333(比特幣)等非常用端口
• 地域異常檢測：非業務相關地區（如東歐、南美）IP的持續連接
• 流量監控方案：iftop實時流量分析 + VnStat歷史數據對比

2.隱蔽通信特徵識別

• DNS隧道特徵：異常頻繁的TXT記錄查詢或超長域名解析請求
• 協議偽裝現象：HTTPS流量中包含非常規SNI信息或證書異常
• 高級檢測工具：Suricata IDS系統配合Bro/Zeek網絡監控框架

三、系統日誌深度審計

1.身份驗證日誌分析

可疑登錄模式：

• 同一賬户短時多地登錄（如10分鐘內從杭州→莫斯科）

• 成功登錄後立即執行sudo提權操作

  • 日誌保護建議：配置遠程syslog服務器，啓用logrotate日誌輪轉

2.特權操作追溯

高危命令記錄：

• 可疑crontab變更（如*/5 * * * * curl http:// 異常域名）

• 異常防火牆規則修改（iptables -A INPUT -s 可疑IP -j ACCEPT）

  • 審計工具推薦：配置auditd規則，監控關鍵文件訪問行為

四、文件系統完整性驗證

1.系統文件篡改檢測

關鍵目錄監控點：

• /sbin/init
• /lib/systemd/systemd

• /usr/bin/ssh

  • 校驗方法：rpm -Va驗證RPM包完整性，或使用AIDE進行基線對比

2.隱蔽存儲位置排查

特殊目錄檢查：

• /dev/shm（內存文件系統）
• /run/user/非特權用户目錄

• .ssh/known\_hosts異常條目

  • 取證技巧：使用find命令搜索近3天修改的suid文件（find / -perm -4000 -mtime -3）

五、綜合防護建議

• 建立性能基線：記錄各時段的CPU/內存/網絡基準值
• 部署行為分析系統：採用Falco等運行時安全監控工具
• 實施最小權限原則：遵循JIT（即時）權限分配策略
• 定期紅藍對抗：每季度進行滲透測試和應急演練

通過上述多維度的監控與分析，技術人員可有效識別99%的已知惡意行為。建議企業建立自動化監控體系，將關鍵指標納入Zabbix或Prometheus監控平台，並配置閾值告警機制。對於關鍵業務系統，建議每半年進行一次完整的內存取證分析，使用Volatility等專業工具深度檢測高級持續性威脅。