Windows、Linux快速排查系統(tǒng)是否被黑 |
一、Windows1.存在隱藏用戶或異常用戶以Windows為例,右鍵計(jì)算機(jī) -> 管理 -> 查看本地用戶和組,如果用戶或用戶組帶有$符號,說明該用戶/用戶組被隱藏,很有可能被黑了。如下截圖 2.異常進(jìn)程通過任務(wù)管理器查看是否存在異常進(jìn)程,比如phpstudy被黑后可能存在12345.exe這類數(shù)字開頭的進(jìn)程?;蛘咭恍﹖emp臨時(shí)文件以管理員身份運(yùn)行 如果用戶安裝了phpstudy查看有某些數(shù)字進(jìn)程 3.異常腳本或可執(zhí)行文件可以檢查Windows常見的幾個(gè)系統(tǒng)目錄,比如C:\Windows、C:\Windows\System32,大量異常腳本,或可執(zhí)行文件。 4.異常進(jìn)程占用CPU注意進(jìn)程描述,運(yùn)行用戶是否使用了system/administrator權(quán)限較高的用戶。 Windows安全建議修改默認(rèn)遠(yuǎn)程連接端口。 不使用弱密碼。 不安裝來歷不明的軟件(比如xx破解版、xx綠色版)。 安裝必要的殺毒軟件。 普通賬戶運(yùn)行mysql、mssql;盡量避免system或管理員運(yùn)行。 盡量關(guān)閉數(shù)據(jù)庫遠(yuǎn)程。 通過官方update及時(shí)更新系統(tǒng)補(bǔ)丁。 總結(jié)查看Windows用戶和組是否異常。 任務(wù)管理器查看是否有占用較高的進(jìn)程、異常進(jìn)程。 查看常見的目錄如C:\Windows是否有異常腳本或可執(zhí)行文件。 檢查事件查看器是否有異常用戶/異常IP登錄。 windows進(jìn)程中PID值0-999為系統(tǒng)進(jìn)程。 二、Linux1.異常進(jìn)程可以用top命令查看是否有占用CPU較高的進(jìn)程,下面截圖的進(jìn)程異常,并且占用較高CPU 2.linux系統(tǒng)中出現(xiàn)類似Windows的目錄或可執(zhí)行文件如果判斷不是用戶自己上傳的,很有可能系統(tǒng)被黑或數(shù)據(jù)庫被黑 3.檢查定時(shí)任務(wù)crontab可以使用crontab -l檢查定時(shí)任務(wù)是否異常,比如 1 20 * /bin/rm -rf /home/wwwroot計(jì)劃執(zhí)行刪除wwwroot目錄,可能存在異常。 查看定時(shí)任務(wù)
4.檢查/etc/init.d/目錄檢查這個(gè)目錄是否有異常文件,或者一些奇怪的文件擁有x可執(zhí)行權(quán)限。ll -t按照時(shí)間排序,最近添加的、一些不認(rèn)識的服務(wù),打開查看執(zhí)行內(nèi)容分析。 5.檢查/etc/rc.local
6.檢查/etc/passwdvi /etc/passwd 是否有異常賬戶,第三個(gè)參數(shù):500以上就是后面建的賬戶,其它則為系統(tǒng)的用戶. 使用常用命令檢查
linux安全建議。 不要安裝來歷不明的一鍵腳本。 盡量避免直接使用root用戶。 使用較為復(fù)雜的密碼或者使用密鑰登錄。 修改SSH默認(rèn)端口。 關(guān)閉數(shù)據(jù)庫遠(yuǎn)程連接。 總結(jié)檢查/etc/init.d/目錄是否有異常文件或權(quán)限異常。 crontab -l檢查是否有異常的定時(shí)任務(wù)。 top查看是否有異常進(jìn)程。 who /var/log/wtmp查看最近幾次登錄是否有異常IP。 linux pid進(jìn)程PID值0-299為系統(tǒng)進(jìn)程。 經(jīng)驗(yàn):1.windows進(jìn)程PID值0-999為系統(tǒng)進(jìn)程;linux pid進(jìn)程PID值0-299為系統(tǒng)進(jìn)程。 進(jìn)程名稱看起來是系統(tǒng)的,但是pid很高,這種進(jìn)程就有可能是偽造有問題,需核實(shí)。 2.windows\linux常見進(jìn)程名需掌握。 |