服务器安全巡检别贪多：每天自动检查这十项就够用了

AI智能摘要

AI 生成的文章内容摘要

服务器安全巡检最怕两个极端：完全不看，或者一上来就做一套复杂到没人维护的流程。对多数网站来说，真正有价值的是每天固定检查少数关键项，尽早发现异常。

一、开放端口

每天记录监听端口变化，重点关注新增的公网监听服务。端口本身不等于风险，但未知服务突然出现一定要排查。

二、SSH 登录记录

检查成功登录、失败登录、异常来源 IP 和非预期用户。若存在大量失败尝试，应结合安全组、fail2ban 或 SSH 配置处理。

三、Web 错误日志

Nginx/Apache 错误日志能反映 PHP 报错、路径扫描、异常请求和资源缺失。持续出现的 500、403、404 峰值都值得关注。

四、PHP 和 Web 目录变更

上传目录、主题目录、插件目录中如果突然出现陌生 PHP 文件，应优先排查。对于 WordPress 站点，wp-content/uploads 下出现可执行脚本尤其敏感。

五、计划任务

crontab 和系统定时任务是常见持久化位置。每天比对新增任务，可以及时发现异常脚本。

六、进程和资源占用

关注 CPU、内存、异常进程名、未知二进制路径。挖矿、扫描器和异常代理常常会在资源占用上露出痕迹。

七、磁盘空间

磁盘满会导致数据库、日志、缓存和上传失败。除了总容量，也要关注日志目录和备份目录增长。

八、证书有效期

HTTPS 证书过期会直接影响访问和收录。建议提前 15 天告警。

九、数据库备份

不要只看“有没有备份任务”，还要检查最近一次备份文件是否存在、大小是否合理、是否能恢复。

十、核心文件权限

Web 根目录权限过宽会扩大入侵后的破坏面。巡检中至少要标记 777 文件、异常属主和可疑可执行文件。

结语

安全巡检不是为了生成漂亮报告，而是为了尽早发现变化。每天固定检查这十项，再配合必要的告警和人工复核，就能覆盖大部分日常运维风险。