如果担心有非法用户闯入系统,最简单的办法就是用w命令来检查。
如果真的看到有非法用户在你的系统上,可以立即 kill 他的进程。
用vi /etc/passwd 命令把他的口令修改为“*”,或者把shell改为/sbin/nologin
先用w命令查看该用户tty号,然后用fuser -k tty号(或显示pts/*)就可以踢出了
即先用w命令查看在线用户,然后pkill -kill -t tty 如pkill -kill -t pts/1
a常用端口
21:FTP服务默认端口
22:SSH远程连接默认端口,关闭后将无法远程
80:WWW服务,如Apache或Nginx的默认端口
3306:Mysql远程连接端口
b修改ssh端口
1. 修改/etc/ssh/sshd_config里的Port字段
Port 22改为Port 1000(你自定义的端口)
2. 重启sshd服务
#sudo service sshd restart
如果是debian或ubuntu系统则使用
#sudo service ssh restart
如果您开启了防火墙,您需要在防火墙上放行对应的远程端口,以免修改端口后无法远程。
c:肉鸡类问题排查思路
(1)使用last命令查看下服务器近期登录的账户记录,或者查看/var/log/secure 日志,如果有除root外的用户登录过,
检查下 /etc/passwd 这个文件,看是否有异常账户,有的话使用命令“usermod -L 用户名”禁用下用户或者使用命令“userdel -r 用户名”删除
下用户
(2)检查下服务器内部账户(如管理员账户,mysql账户,sql server账户,ftp账户)是否密码设置的较为简单,过于简单的密码很容易被黑客破解,
请将密码设置的较为复杂些异常端口.
看下/etc/rc.local 这个文件中是否有异常的项目,有的话注释掉;
登录服务器使用ps -aux 命令查看是否有异常进程,异常进程可以使用kill命令关闭掉
发现未授权登录用户怎么办
如果担心有非法用户闯入系统,最简单的办法就是用w命令来检查。
如果真的看到有非法用户在你的系统上,可以立即 kill 他的进程。
用vi /etc/passwd 命令把他的口令修改为“*”,或者把shell改为/sbin/nologin
先用w命令查看该用户tty号,然后用fuser -k tty号(或显示pts/*)就可以踢出了
即先用w命令查看在线用户,然后pkill -kill -t tty 如pkill -kill -t pts/1
原文:http://www.cnblogs.com/Sven-w/p/4280016.html