41
Windows、Linux快(kuài)速排查系統是否被黑

一(yī)、Windows

1.存在隐藏用戶或異常用戶

以Windows為(wèi)例,右鍵計算(suàn)機 -> 管理(lǐ) -> 查看本地用戶和組,如(rú)果用戶或用戶組帶有$符号,說(shuō)明該用戶/用戶組被隐藏,很有可能(néng)被黑了(le)。如(rú)下(xià)截圖

2.異常進程

通過任務(wù)管理(lǐ)器(qì)查看是否存在異常進程,比如(rú)phpstudy被黑後可能(néng)存在12345.exe這(zhè)類數字開頭的進程。或者一(yī)些(xiē)temp臨時(shí)文件以管理(lǐ)員(yuán)身(shēn)份運行

如(rú)果用戶安裝了(le)phpstudy查看有某些(xiē)數字進程

3.異常腳本或可執行文件

可以檢查Windows常見的幾個(gè)系統目錄,比如(rú)C:\Windows、C:\Windows\System32,大量異常腳本,或可執行文件。

4.異常進程占用CPU

注意進程描述,運行用戶是否使用了(le)system/administrator權限較高的用戶。

Windows安全建議(yì)

修改默認遠(yuǎn)程連接端口。

不使用弱密碼。

不安裝來(lái)曆不明的軟件(比如(rú)xx破解版、xx綠(lǜ)色版)。

安裝必要的殺毒軟件。

普通賬戶運行mysql、mssql;盡量避免system或管理(lǐ)員(yuán)運行。

盡量關(guān)閉數據庫遠(yuǎn)程。

通過官方update及時(shí)更新(xīn)系統補丁。

總結

查看Windows用戶和組是否異常。

任務(wù)管理(lǐ)器(qì)查看是否有占用較高的進程、異常進程。

查看常見的目錄如(rú)C:\Windows是否有異常腳本或可執行文件。

檢查事(shì)件查看器(qì)是否有異常用戶/異常IP登錄。

windows進程中PID值0-999為(wèi)系統進程。

二、Linux

1.異常進程

可以用top命令查看是否有占用CPU較高的進程,下(xià)面截圖的進程異常,并且占用較高CPU

2.linux系統中出現(xiàn)類似Windows的目錄或可執行文件

如(rú)果判斷不是用戶自己上(shàng)傳的,很有可能(néng)系統被黑或數據庫被黑

3.檢查定時(shí)任務(wù)crontab

可以使用crontab -l檢查定時(shí)任務(wù)是否異常,比如(rú) 1 20 * /bin/rm -rf /home/wwwroot計劃執行删除wwwroot目錄,可能(néng)存在異常。

查看定時(shí)任務(wù)

[root@xiaoz home]# crontab -l
*/20 * * * * /usr/sbin/ntpdate pool.ntp.org > /dev/null 2>&1*
1 20 * * /bin/rm -rf /home/wwwroot

4.檢查/etc/init.d/目錄

檢查這(zhè)個(gè)目錄是否有異常文件,或者一(yī)些(xiē)奇怪的文件擁有x可執行權限。ll -t按照時(shí)間(jiān)排序,最近添加的、一(yī)些(xiē)不認識的服務(wù),打開查看執行内容分(fēn)析。

5.檢查/etc/rc.local

vi /etc/rc.local 是否有加載異常啓動。如(rú)果有都需核實是否正常。

6.檢查/etc/passwd

vi /etc/passwd 是否有異常賬戶,第三個(gè)參數:500以上(shàng)就(jiù)是後面建的賬戶,其它則為(wèi)系統的用戶.

使用常用命令檢查

history:查看曆史命令
crontab -l:查看定時(shí)任務(wù)
cat /etc/passwd:查看已經創建的用戶
cat /etc/group:查看組
who:當前在線用戶
who /var/log/wtmp:最近登錄情況
screen -ls:列出所有session

linux安全建議(yì)。

不要安裝來(lái)曆不明的一(yī)鍵腳本。

盡量避免直接使用root用戶。

使用較為(wèi)複雜的密碼或者使用密鑰登錄。

修改SSH默認端口。

關(guān)閉數據庫遠(yuǎn)程連接。

總結

檢查/etc/init.d/目錄是否有異常文件或權限異常。

crontab -l檢查是否有異常的定時(shí)任務(wù)。

top查看是否有異常進程。

who /var/log/wtmp查看最近幾次登錄是否有異常IP。

linux pid進程PID值0-299為(wèi)系統進程。

經驗:

1.windows進程PID值0-999為(wèi)系統進程;linux pid進程PID值0-299為(wèi)系統進程。 進程名稱看起來(lái)是系統的,但(dàn)是pid很高,這(zhè)種進程就(jiù)有可能(néng)是僞造有問題,需核實。

2.windows\linux常見進程名需掌握。

這(zhè)條幫助是否解決了(le)您的問題? 已解決 未解決

提交成功!非常感謝您的反饋,我們會繼續努力做到更好(hǎo)(hǎo)! 很抱歉未能(néng)解決您的疑問。我們已收到您的反饋意見,同時(shí)會及時(shí)作(zuò)出反饋處理(lǐ)!