一���、WINDOWS
1.存在隱藏用戶或異常用戶
右鍵 計算機 -> 管理 -> 查看本地用戶和組,如果用戶或用戶組帶有$符號�����,說明該用戶/用戶組被隱藏����,基本上就是被黑了。如下截圖
WINDOWS���、LINUX服務(wù)器快速排查系統(tǒng)是否被黑
WINDOWS����、LINUX服務(wù)器快速排查系統(tǒng)是否被黑
WINDOWS�、LINUX服務(wù)器快速排查系統(tǒng)是否被黑
2.異常進程
通過任務(wù)管理器查看是否存在異常進程,比如phpstudy被黑后可能存在12345.exe這類數(shù)字開頭的進程�����。或者一些temp臨時文件以管理員身份運行
WINDOWS����、LINUX服務(wù)器快速排查系統(tǒng)是否被黑
如果用戶安裝了phpstudy查看有某些數(shù)字進程
WINDOWS、LINUX服務(wù)器快速排查系統(tǒng)是否被黑
3.異常腳本或可執(zhí)行文件
可以檢查Windows常見的幾個系統(tǒng)目錄�����,比如C:Windows����、C:WindowsSystem32,大量異常腳本��,或可執(zhí)行文件��。
WINDOWS����、LINUX服務(wù)器快速排查系統(tǒng)是否被黑
WINDOWS、LINUX服務(wù)器快速排查系統(tǒng)是否被黑
4.異常進程占用CPU
注意進程描述�����,運行用戶是否使用了system/administrator權(quán)限較高的用戶。
WINDOWS��、LINUX服務(wù)器快速排查系統(tǒng)是否被黑
WINDOWS安全建議
修改默認遠程連接端口3389
不使用弱口令
不安裝來歷不明的軟件(比如xx破解版�、xx綠色版)
安裝必要的殺毒軟件諾頓����,360(查殺引擎全部安裝)
普通賬戶運行mysql、mssql���;盡量避免system或管理員運行
mysql����、mssql root����,sa管理員賬戶不使用弱口令
數(shù)據(jù)庫盡量不監(jiān)聽公網(wǎng)端口,使用本地端口或更改端口
通過官方update及時更新系統(tǒng)補丁
總結(jié)
查看Windows用戶和組是否異常
任務(wù)管理器查看是否有資源占用較高的進程�����、異常進程
查看常見的目錄如C:Windows是否有異常腳本或可執(zhí)行文件
檢查事件查看器是否有異常用戶/異常IP登錄
windows進程中PID值0-999為系統(tǒng)進程��。
二����、LINUX
1.異常進程
可以用top命令查看是否有占用CPU較高的進程���,下面截圖的進程異常,并且占用較高CPU
WINDOWS�、LINUX服務(wù)器快速排查系統(tǒng)是否被黑
2.LINUX系統(tǒng)中出現(xiàn)類似WINDOWS的目錄或可執(zhí)行文件
如果判斷不是用戶自己上傳的,很有可能系統(tǒng)被黑或數(shù)據(jù)庫被黑
WINDOWS���、LINUX服務(wù)器快速排查系統(tǒng)是否被黑
3.檢查定時任務(wù)CRONTAB
可以使用crontab -l檢查定時任務(wù)是否異常�,比如* 1 20 * * /bin/rm -rf /home/wwwroot計劃執(zhí)行刪除wwwroot目錄��,可能存在異常�����。
#查看定時任務(wù)
[root@xiaoz home]# crontab -l
*/20 * * * * /usr/sbin/ntpdate pool.ntp.org > /dev/null 2>&1*
1 20 * * /bin/rm -rf /home/wwwroot
4.檢查/ETC/INIT.D/目錄
檢查這個目錄是否有異常文件�,或者一些奇怪的文件擁有x可執(zhí)行權(quán)限。ll -t按照時間排序�,最近添加的、一些不認識的服務(wù)�,打開查看執(zhí)行內(nèi)容分析。
WINDOWS�����、LINUX服務(wù)器快速排查系統(tǒng)是否被黑
5.檢查/etc/rc.local
vi /etc/rc.local 是否有加載異常啟動。如果有都需核實是否正常�。
WINDOWS、LINUX服務(wù)器快速排查系統(tǒng)是否被黑
6.檢查/etc/passwd
vi /etc/passwd 是否有異常賬戶�����,第三個參數(shù):500以上就是后面建的賬戶�,其它則為系統(tǒng)的用戶.
使用常用命令檢查
history:查看歷史命令
crontab -l:查看定時任務(wù)
cat /etc/passwd:查看已經(jīng)創(chuàng)建的用戶
cat /etc/group:查看組
who:當前在線用戶
who /var/log/wtmp:最近登錄情況
screen -ls:列出所有session
LINUX安全建議
不要安裝來歷不明的一鍵腳本
盡量避免直接使用root用戶登錄
使用較為復(fù)雜的密碼或者使用密鑰登錄
修改SSH默認端口
關(guān)閉數(shù)據(jù)庫遠程連接
總結(jié)
檢查/etc/init.d/目錄是否有異常文件或權(quán)限異常
crontab -l檢查是否有異常的定時任務(wù)
top查看是否有異常進程
who /var/log/wtmp查看最近幾次登錄是否有異常IP
linux pid進程PID值0-299為系統(tǒng)進程�。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
