本指南中所謂的服務器被入侵或者說被黑了的意思，是指未經授權的人或程序為了自己的目的登錄到服務器上去并使用其計算資源，通常會產生不好的影響。

    免責聲明：若你的服務器被類似 NSA 這樣的國家機關或者某個犯罪集團入侵，那么你并不會注意到有任何問題，這些技術也無法發(fā)覺他們的存在。

    然而，大多數被攻破的服務器都是被類似自動攻擊程序這樣的程序或者類似“腳本小子”這樣的廉價攻擊者，以及蠢蛋罪犯所入侵的。

    這類攻擊者會在訪問服務器的同時濫用服務器資源，并且不怎么會采取措施來隱藏他們正在做的事情。

    被入侵服務器的癥狀

    當服務器被沒有經驗攻擊者或者自動攻擊程序入侵了的話，他們往往會消耗 100% 的資源。他們可能消耗 CPU 資源來進行數字貨幣的采礦或者發(fā)送垃圾郵件，也可能消耗帶寬來發(fā)動 DoS 攻擊。

    因此出現問題的第一個表現就是服務器 “變慢了”。這可能表現在網站的頁面打開的很慢，或者電子郵件要花很長時間才能發(fā)送出去。

    那么你應該查看那些東西呢？

    檢查 1 – 當前都有誰在登錄？

    你首先要查看當前都有誰登錄在服務器上。發(fā)現攻擊者登錄到服務器上進行操作并不復雜。

    其對應的命令是 w。運行 w 會輸出如下結果：

    08：32：55 up 98 days,  5：43,  2 users,  load average： 0.05, 0.03, 0.00

    USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT

    root     pts/0    113.174.161.1    08：26    0.00s  0.03s  0.02s ssh root@coopeaa12

    root     pts/1    78.31.109.1      08：26    0.00s  0.01s  0.00s w

    第一個 IP 是英國 IP，而第二個 IP 是越南 IP。這個不是個好兆頭。

    停下來做個深呼吸, 不要恐慌之下只是干掉他們的 SSH 連接。除非你能夠防止他們再次進入服務器，否則他們會很快進來并踢掉你，以防你再次回去。

    請參閱本文最后的“被入侵之后怎么辦”這一章節(jié)來看找到了被入侵的證據后應該怎么辦。