一文教你如何快速排查Windows和Linux系統(tǒng)是否被黑
一、Windows
1.存在隱藏用戶或異常用戶
以Windows為例,右鍵計(jì)算機(jī) -> 管理 -> 查看本地用戶和組,如果用戶或用戶組帶有$符號(hào),說(shuō)明該用戶/用戶組被隱藏,很有可能被黑了。如下截圖
2.異常進(jìn)程
通過(guò)任務(wù)管理器查看是否存在異常進(jìn)程,比如phpstudy被黑后可能存在12345.exe這類數(shù)字開(kāi)頭的進(jìn)程?;蛘咭恍﹖emp臨時(shí)文件以管理員身份運(yùn)行
如果用戶安裝了phpstudy查看有某些數(shù)字進(jìn)程
3.異常腳本或可執(zhí)行文件
可以檢查Windows常見(jiàn)的幾個(gè)系統(tǒng)目錄,比如C:\Windows、C:\Windows\System32,大量異常腳本,或可執(zhí)行文件。
4.異常進(jìn)程占用CPU
注意進(jìn)程描述,運(yùn)行用戶是否使用了system/administrator權(quán)限較高的用戶。
Windows安全建議
- 修改默認(rèn)遠(yuǎn)程連接端口。
- 不使用弱密碼。
- 不安裝來(lái)歷不明的軟件(比如xx破解版、xx綠色版)。
- 安裝必要的殺毒軟件。
- 普通賬戶運(yùn)行mysql、mssql;盡量避免system或管理員運(yùn)行。
- 盡量關(guān)閉數(shù)據(jù)庫(kù)遠(yuǎn)程。
- 通過(guò)官方update及時(shí)更新系統(tǒng)補(bǔ)丁。
總結(jié)
- 查看Windows用戶和組是否異常。
- 任務(wù)管理器查看是否有占用較高的進(jìn)程、異常進(jìn)程。
- 查看常見(jiàn)的目錄如C:\Windows是否有異常腳本或可執(zhí)行文件。
- 檢查事件查看器是否有異常用戶/異常IP登錄。
- windows進(jìn)程中PID值0-999為系統(tǒng)進(jìn)程。
二、Linux
1.異常進(jìn)程
可以用top命令查看是否有占用CPU較高的進(jìn)程,下面截圖的進(jìn)程異常,并且占用較高CPU
2.linux系統(tǒng)中出現(xiàn)類似Windows的目錄或可執(zhí)行文件
如果判斷不是用戶自己上傳的,很有可能系統(tǒng)被黑或數(shù)據(jù)庫(kù)被黑
3.檢查定時(shí)任務(wù)crontab
可以使用crontab -l檢查定時(shí)任務(wù)是否異常,比如1 20* /bin/rm -rf /home/wwwroot計(jì)劃執(zhí)行刪除wwwroot目錄,可能存在異常。
查看定時(shí)任務(wù)
[root@xiaozhome]#crontab-l
*/20****/usr/sbin/ntpdatepool.ntp.org>/dev/null2>&1*
120**/bin/rm-rf/home/wwwroot
4.檢查/etc/init.d/目錄
檢查這個(gè)目錄是否有異常文件,或者一些奇怪的文件擁有x可執(zhí)行權(quán)限。ll -t按照時(shí)間排序,最近添加的、一些不認(rèn)識(shí)的服務(wù),打開(kāi)查看執(zhí)行內(nèi)容分析。
5.檢查/etc/rc.local
vi /etc/rc.local是否有加載異常啟動(dòng)。如果有都需核實(shí)是否正常。
6.檢查/etc/passwd
vi /etc/passwd 是否有異常賬戶,第三個(gè)參數(shù):500以上就是后面建的賬戶,其它則為系統(tǒng)的用戶.
使用常用命令檢查
- history:查看歷史命令
- crontab -l:查看定時(shí)任務(wù)
- cat /etc/passwd:查看已經(jīng)創(chuàng)建的用戶
- cat /etc/group:查看組
- who:當(dāng)前在線用戶
- who /var/log/wtmp:最近登錄情況
- screen -ls:列出所有session
linux安全建議
- 不要安裝來(lái)歷不明的一鍵腳本。
- 盡量避免直接使用root用戶。
- 使用較為復(fù)雜的密碼或者使用密鑰登錄。
- 修改SSH默認(rèn)端口。
- 關(guān)閉數(shù)據(jù)庫(kù)遠(yuǎn)程連接。
總結(jié)
- 檢查/etc/init.d/目錄是否有異常文件或權(quán)限異常。
- crontab -l檢查是否有異常的定時(shí)任務(wù)。
- top查看是否有異常進(jìn)程。
- who /var/log/wtmp查看最近幾次登錄是否有異常IP。
- linux pid進(jìn)程PID值0-299為系統(tǒng)進(jìn)程。
三、經(jīng)驗(yàn)
1.windows進(jìn)程PID值0-999為系統(tǒng)進(jìn)程;linux pid進(jìn)程PID值0-299為系統(tǒng)進(jìn)程。 進(jìn)程名稱看起來(lái)是系統(tǒng)的,但是pid很高,這種進(jìn)程就有可能是偽造有問(wèn)題,需核實(shí)。
2.windows\linux常見(jiàn)進(jìn)程名需掌握。
到此這篇關(guān)于一文教你如何快速排查Windows和Linux系統(tǒng)是否被黑的文章就介紹到這了,更多相關(guān)排查系統(tǒng)是否被黑內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!
相關(guān)文章
CentOS7修改服務(wù)器系統(tǒng)時(shí)間的方法
服務(wù)器上的系統(tǒng)時(shí)間不對(duì),比實(shí)際的UTC快了將近63分鐘。在這里小編給大家分享下系統(tǒng)時(shí)間更正的過(guò)程,對(duì)centos修改服務(wù)器時(shí)間的知識(shí)感興趣的朋友參考下吧2016-10-10Linux下安裝jdk1.8并配置環(huán)境變量的教程
這篇文章主要介紹了Linux下安裝jdk1.8并配置環(huán)境變量的教程,需要的朋友可以參考下2018-03-03基于Linux搭建Apache網(wǎng)站服務(wù)配置詳解
這篇文章主要介紹了基于Linux搭建Apache網(wǎng)站服務(wù)配置詳解,文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧2019-05-05linux下查看系統(tǒng)進(jìn)程占用的句柄數(shù)方法
下面小編就為大家?guī)?lái)一篇linux下查看系統(tǒng)進(jìn)程占用的句柄數(shù)方法。小編覺(jué)得挺不錯(cuò)的,現(xiàn)在就分享給大家,也給大家做個(gè)參考。一起跟隨小編過(guò)來(lái)看看吧2016-11-11詳解xshell遠(yuǎn)程連接自動(dòng)斷開(kāi)的問(wèn)題解決辦法
這篇文章主要介紹了詳解xshell遠(yuǎn)程連接自動(dòng)斷開(kāi)的問(wèn)題解決辦法,文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧2020-07-07如何使用Apache Kafka 構(gòu)建實(shí)時(shí)數(shù)據(jù)處理應(yīng)用
?Apache Kafka 在實(shí)時(shí)數(shù)據(jù)處理中的重要性源于其高性能、可靠性、可擴(kuò)展性和靈活性,這篇文章主要介紹了使用Apache Kafka 構(gòu)建實(shí)時(shí)數(shù)據(jù)處理應(yīng)用,需要的朋友可以參考下2024-07-07