在CentOS系统中,Sniffer(嗅探器)是一种强大的网络监控工具,能够捕获和分析网络流量,从而帮助识别多种异常行为。以下是一些常见的异常行为类型:
- 挖矿病毒:CPU或GPU长时间占用100%,出现异常进程(如xmrig、kworker、ddgs)等。
- DDoS攻击:服务器带宽异常占满,netstat显示大量syn_recv、time_wait状态,ps发现大量httpd/nginx进程等。
- 后门木马:隐藏进程,ps进程列表找不到但top能看到,crontab中出现可疑定时任务,端口监听异常(ss -antp显示root运行的非标准端口)等。
- 蠕虫病毒:短时间内大量文件变动,top显示异常高I/O负载,服务器对外疯狂扫描其他IP等。
- 勒索病毒:文件被加密(扩展名.lock、.encrypted),/tmp目录下出现未知可执行文件,ps发现wget/curl下载可疑文件等。
- Webshell:网站目录(/var/www/html/)出现陌生脚本文件等。
- SQL注入攻击:数据库mysqld进程CPU异常升高,网站日志出现大量union select或or 1=1语句等。
- 暴力破解:/var/log/secure出现大量failed login记录,who发现陌生IP登录,ss -antp发现22端口大量连接等。
- DNS劫持:resolv.conf被篡改,DNS解析异常,ping google.com解析IP变化,服务器DNS记录被改到8.8.8.8之外的未知IP等。
- 恶意代理/隧道:ps发现socat、nc、iodine等隧道工具,服务器对外大量443/80连接,iptables规则被修改等。
- ARP欺骗:arp -a显示异常网关MAC,内网通信异常,流量到达错误IP,tcpdump发现ARP报文激增等。
需要注意的是,Sniffer工具的使用需要获得相应网络设备的授权,并且可能受到法律和隐私政策的限制。在使用此类技术之前,必须确保有合适的法律依据和支持。
亿速云「云服务器」,即开即用、新一代英特尔至强铂金CPU、三副本存储NVMe SSD云盘,价格低至29元/月。点击查看>>