如何查看VPS被攻击了？

随着虚拟专用服务器（VPS）的普及，许多用户将他们的网站托管在VPS上，VPS服务器并不像你想象中那么安全，一旦被攻击，后果可能会非常严重，了解如何检查VPS是否受到攻击是非常重要的。

检查系统日志

系统日志是任何服务器攻击的直接证据,VPS服务器通常会配置多种日志系统，包括Apache、Nginx、Web应用服务器（如IIS、PHP-FPM）等，这些日志记录了服务器的启动、停止、错误、警告、信息以及其他操作。

• Apache日志：查看Apache服务器的日志文件，通常位于网站根目录下（/var/log/apache2/），这些日志记录了所有访问网站的请求，包括正常的请求和异常的请求。
• Nginx日志：如果使用Nginx作为Web服务器，日志通常位于/nologin/目录下，这些日志记录了所有访问Nginx的请求，包括来自客户端的连接。
• Web应用服务器日志：如果使用其他Web应用服务器（如PHP-FPM、Lighttpd等），日志通常位于网站根目录下（/var/log/），这些日志记录了所有访问Web应用服务器的请求，包括正常的请求和异常的请求。

检查数据库日志

如果使用数据库托管的Web应用（如MySQL、PostgreSQL等），需要检查数据库日志，数据库日志记录了所有连接到数据库的请求，包括正常的连接和异常的连接。

• MySQL日志：如果使用MySQL数据库，日志通常位于/var/log/myndb/目录下，这些日志记录了所有连接到MySQL的请求，包括来自Web应用服务器的连接。
• PostgreSQL日志：如果使用PostgreSQL数据库，日志通常位于/var/log/postgresql/目录下，这些日志记录了所有连接到PostgreSQL的请求，包括来自Web应用服务器的连接。

检查网络日志

网络日志记录了所有进出VPS服务器的网络流量,通过检查网络日志，可以发现来自外部的异常流量，以及来自内部用户的异常流量。

• AccessLog日志：如果使用Apache服务器，AccessLog日志通常位于/nologin/目录下，这些日志记录了所有进出VPS服务器的流量，包括来自客户端的连接。
• Web应用服务器日志：如果使用其他Web应用服务器（如Lighttpd、Nginx等），日志通常位于网站根目录下（/var/log/），这些日志记录了所有进出VPS服务器的流量，包括来自客户端的连接。

检查系统进程

系统进程是VPS服务器的运行状态的直接体现,通过检查系统进程，可以发现是否有异常进程在运行，这些进程可能是攻击工具。

• top命令：使用top命令可以查看VPS服务器的所有活跃进程，如果发现有异常进程在运行，可能是攻击工具。
• ps aux命令：使用ps aux命令可以查看所有正在运行的进程，如果发现有异常进程在运行，可能是攻击工具。

检查系统IP地址

VPS服务器的IP地址是连接到互联网的唯一标识,通过检查系统IP地址，可以发现是否有异常流量。

• tracert命令：使用tracert命令可以查看VPS服务器的IP地址到其他服务器的流量情况，如果发现有异常流量，可能是攻击工具。
• nslookup命令：使用nslookup命令可以查看VPS服务器的IP地址到其他服务器的响应情况，如果发现有异常响应，可能是攻击工具。

检查数据库连接

如果使用数据库托管的Web应用,需要检查数据库连接情况。

• ps aux命令：使用ps aux命令可以查看所有正在连接到数据库的进程，如果发现有异常连接，可能是攻击工具。

检查系统配置

VPS服务器的配置文件可能被修改,导致系统更容易受到攻击。

• /etc/vpshosts.conf：如果使用VPS主机文件（/etc/vpshosts.conf），需要检查文件内容，确保没有被修改。
• 防火墙规则：检查VPS服务器的防火墙规则，确保没有被修改。

检查系统进程

VPS服务器的进程列表可以显示系统运行状态。

• top命令：使用top命令可以查看VPS服务器的所有活跃进程，如果发现有异常进程在运行，可能是攻击工具。
• ps aux命令：使用ps aux命令可以查看所有正在运行的进程，如果发现有异常进程在运行，可能是攻击工具。

检查系统IP地址

VPS服务器的IP地址是连接到互联网的唯一标识,通过检查系统IP地址，可以发现是否有异常流量。

• tracert命令：使用tracert命令可以查看VPS服务器的IP地址到其他服务器的流量情况，如果发现有异常流量，可能是攻击工具。
• nslookup命令：使用nslookup命令可以查看VPS服务器的IP地址到其他服务器的响应情况，如果发现有异常响应，可能是攻击工具。

检查系统配置

VPS服务器的配置文件可能被修改,导致系统更容易受到攻击。

• /etc/vpshosts.conf：如果使用VPS主机文件（/etc/vpshosts.conf），需要检查文件内容，确保没有被修改。
• 防火墙规则：检查VPS服务器的防火墙规则，确保没有被修改。

通过以上步骤,可以全面检查VPS服务器是否受到攻击，如果发现异常流量或异常进程，需要立即采取措施，例如重新配置VPS服务器，或者联系专业的安全团队进行分析。