以Windows為例,右鍵計算機 -> 管理 -&g件窗t; 查看本地用戶和組,如果用戶或用戶組帶有$符号,志坐說(shuō)明該用戶/用戶組被(bè作喝i)隐藏,很有可能(néng)被(bèi)黑了。如下截圖
通過(guò)任務管理器查看是否存在異常進(jìn)程,比老務如phpstudy被(bèi)黑後藍行(hòu)可能(néng)存在1員市2345.exe這(zhè)類數字開(kāi)頭的進(jìn)程黑道。或者一些temp臨時(shí)文件以管理員身份運行
如果用戶安裝了phpstudy查看有某些數字進(通頻jìn)程
可以檢查Windows常見的幾個系統目錄,比如C:\Windows、C:\Wi答樹ndows\System32,大量異常腳本拿靜,或可執行文件。
注意進(jìn)程描述,運行用戶是否使用了知話system/administra吧機tor權限較高的用戶。
修改默認遠程連接端口。
不使用弱密碼。
不安裝來曆不明的軟件(比如xx破解對秒版、xx綠色版)。
安裝必要的殺毒軟件。
普通賬戶運行mysql、mssql;盡量避免system或北年管理員運行。
盡量關閉數據庫遠程。
通過(guò)官方update及時(shí)更新系長國統補丁。
查看Windows用戶和組是否異常。
任務管理器查看是否有占用較高的進(jìn)程、異常進(jìn)程。
查看常見的目錄如C:\Windows是否有異常腳本或可執行文件。
檢查事(shì)件查看器是否有異常用算雨戶/異常IP登錄。
windows進(jìn)程中PID吃刀值0-999為系統進(jìn)上我程。
可以用top命令查看是否有占用CPU較高的進(jìn對筆)程,下面(miàn)截圖的進(jìn)程異常筆嗎,并且占用較高CPU
如果判斷不是用戶自己上傳的,很有可能(néng)系統被(bèi)黑或討制數據庫被(bèi)黑
可以使用crontab -l檢查定時黑資(shí)任務是否異常,比如 1 20 * /bin/rm -rf /home/wwwroot計劃執行删除wwwr物線oot目錄,可能(néng)存在異常。
查看定時(shí)任務
[root@xiaoz home]# crontab -l書月
*/20 * * * * /usr/s很好bin/ntpdate pool.ntp.org > /dev我兵/null 2>&1*
1 20 * * /bin/rm -rf /home/wwwroot西人
檢查這(zhè)個目錄是否有異常銀生文件,或者一些奇怪的文件擁有x照風可執行權限。ll -t按照時(shí)間排序,最近添加的、一些不認識的服務,打計機開(kāi)查看執行内容分析。
vi /etc/rc.local
是否有加載異常啟動。如果有都(dōu)需核實是否正常。
vi /etc/passwd 是否慢來有異常賬戶,第三個參數:500以上就(jiù)是後(hòu)面(m短鐵iàn)建的賬戶,其它則為系統的用戶.
使用常用命令檢查
history:查看曆史命令
crontab -l:查看定時(shí)任務
cat /etc/passwd:查看已經(jīng)創建的鐵暗用戶
cat /etc/group:查看組
who:當前在線用戶
who /var/log/wtmp:最近登錄情況
screen -ls:列出所有session
linux安全建議。
不要安裝來曆不明的一鍵腳本。
盡量避免直接使用root用戶。
使用較為複雜的密碼或者使用密鑰登錄。
修改SSH默認端口。
關閉數據庫遠程連接。
檢查/etc/init.d/目錄是否有異常文件或權限異常。
crontab -l檢查是否有異常的定時(shí)任務。
top查看是否有異常進(jìn)程。
who /var/log/wtmp查看最近幾次登錄是否有異常I師從P。
linux pid進(jìn)程件厭PID值0-299為系統進(jìn)程。
1.windows進(jìn)上音程PID值0-999為系統進(jìn)程;linux家上 pid進(jìn)程PID值0-299為系統進(jìn)程。 進(票購jìn)程名稱看起(qǐ)來是系統的,但是pid很高,這(zhè)種(月日zhǒng)進(jìn)程就(jiù)有可能(néng)是僞造有下書問題,需核實。
2.windows\linux常見通哥進(jìn)程名需掌握。
0592-8833123
0592-8399399