二连码的意思

關于我們

質量為本、客戶為根、勇于拼搏、務實創新

< 返回新聞公共列表

Windows、Linux快速排查系統是否被黑

發布時間:2019-09-30 21:38:59

一、Windows

1.存在隱藏用戶或異常用戶

以Windows為例,右鍵計算機 -> 管理 -> 查看本地用戶和組,如果用戶或用戶組帶有$符號,說明該用戶/用戶組被隱藏,很有可能被黑了。如下截圖




2.異常進程

通過任務管理器查看是否存在異常進程,比如phpstudy被黑后可能存在12345.exe這類數字開頭的進程。或者一些temp臨時文件以管理員身份運行


如果用戶安裝了phpstudy查看有某些數字進程


3.異常腳本或可執行文件

可以檢查Windows常見的幾個系統目錄,比如C:\Windows、C:\Windows\System32,大量異常腳本,或可執行文件。



4.異常進程占用CPU

注意進程描述,運行用戶是否使用了system/administrator權限較高的用戶。


Windows安全建議

修改默認遠程連接端口。

不使用弱密碼。

不安裝來歷不明的軟件(比如xx破解版、xx綠色版)。

安裝必要的殺毒軟件。

普通賬戶運行mysql、mssql;盡量避免system或管理員運行。

盡量關閉數據庫遠程。

通過官方update及時更新系統補丁。

總結

查看Windows用戶和組是否異常。

任務管理器查看是否有占用較高的進程、異常進程。

查看常見的目錄如C:\Windows是否有異常腳本或可執行文件。

檢查事件查看器是否有異常用戶/異常IP登錄。

windows進程中PID值0-999為系統進程。

二、Linux

1.異常進程

可以用top命令查看是否有占用CPU較高的進程,下面截圖的進程異常,并且占用較高CPU


2.linux系統中出現類似Windows的目錄或可執行文件

如果判斷不是用戶自己上傳的,很有可能系統被黑或數據庫被黑


3.檢查定時任務crontab

可以使用crontab -l檢查定時任務是否異常,比如 1 20 * /bin/rm -rf /home/wwwroot計劃執行刪除wwwroot目錄,可能存在異常。

查看定時任務

[[email protected] home]# crontab -l*/20 * * * * /usr/sbin/ntpdate pool.ntp.org > /dev/null 2>&1*1 20 * * /bin/rm -rf /home/wwwroot

4.檢查/etc/init.d/目錄

檢查這個目錄是否有異常文件,或者一些奇怪的文件擁有x可執行權限。ll -t按照時間排序,最近添加的、一些不認識的服務,打開查看執行內容分析。


5.檢查/etc/rc.local

vi /etc/rc.local 是否有加載異常啟動。如果有都需核實是否正常。


6.檢查/etc/passwd

vi /etc/passwd 是否有異常賬戶,第三個參數:500以上就是后面建的賬戶,其它則為系統的用戶.

使用常用命令檢查

history:查看歷史命令crontab -l:查看定時任務cat /etc/passwd:查看已經創建的用戶cat /etc/group:查看組who:當前在線用戶who /var/log/wtmp:最近登錄情況screen -ls:列出所有session

linux安全建議。

不要安裝來歷不明的一鍵腳本。

盡量避免直接使用root用戶。

使用較為復雜的密碼或者使用密鑰登錄。

修改SSH默認端口。

關閉數據庫遠程連接。

總結

檢查/etc/init.d/目錄是否有異常文件或權限異常。

crontab -l檢查是否有異常的定時任務。

top查看是否有異常進程。

who /var/log/wtmp查看最近幾次登錄是否有異常IP。

linux pid進程PID值0-299為系統進程。

經驗:

1.windows進程PID值0-999為系統進程;linux pid進程PID值0-299為系統進程。 進程名稱看起來是系統的,但是pid很高,這種進程就有可能是偽造有問題,需核實。

2.windows\linux常見進程名需掌握。




/template/Home/8a/PC/Static
二连码的意思 考研企业管理哪个学校好 多乐彩 鑫配网配资 股票分析软件手机版 快播日本黄色片 下载日本黄色片 网易股票代码 有闲钱10万如何理财 p2p投资理财平台哪家好 超级大乐透 高端制造概念股 富盈门财富 今日股市最新消息上证指数上证指数2020年预测 中国国竞彩比分直播 日本av片下载快播下载 体球网即时赔率