| windows、linux快速排查系统是否被黑 |
|
windows、linux快速排查系统是否被黑 一、windows 1.存在隐藏用户或异常用户 以windows为例,右键计算机 -> 管理 -> 查看本地用户和组,如果用户或用户组带有$符号,说明该用户/用户组被隐藏,很有可能被黑了 2.异常进程 通过任务管理器查看是否存在异常进程,比如phpstudy被黑后可能存在12345.exe这类数字开头的进程。或者一些temp临时文件以管理员身份运行,如果用户安装了phpstudy查看有某些数字进程 3.异常脚本或可执行文件 可以检查windows常见的几个系统目录,比如c:\windows、c:\windows\system32,大量异常脚本,或可执行文件。 4.异常进程占用cpu 注意进程描述,运行用户是否使用了system/administrator权限较高的用户。 windows安全建议 修改默认远程连接端口。 不使用弱密码。 不安装来历不明的软件(比如xx破解版、xx绿色版)。 安装必要的杀毒软件。 普通账户运行mysql、mssql;尽量避免system或管理员运行。 尽量关闭数据库远程。 通过官方update及时更新系统补丁。 总结 查看windows用户和组是否异常。 任务管理器查看是否有占用较高的进程、异常进程。 查看常见的目录如c:\windows是否有异常脚本或可执行文件。 检查事件查看器是否有异常用户/异常ip登录。 windows进程中pid值0-999为系统进程。 二、linux 1.异常进程 可以用top命令查看是否有占用cpu较高的进程,下面截图的进程异常,并且占用较高cpu 2.linux系统中出现类似windows的目录或可执行文件 如果判断不是用户自己上传的,很有可能系统被黑或数据库被黑 3.检查定时任务crontab 可以使用crontab -l检查定时任务是否异常,比如 1 20 * /bin/rm -rf /home/wwwroot计划执行删除wwwroot目录,可能存在异常。 查看定时任务 4.检查/etc/init.d/目录 检查这个目录是否有异常文件,或者一些奇怪的文件拥有x可执行权限。ll -t按照时间排序,最近添加的、一些不认识的服务,打开查看执行内容分析。 5.检查/etc/rc.local vi /etc/rc.local 是否有加载异常启动。如果有都需核实是否正常。 6.检查/etc/passwd vi /etc/passwd 是否有异常账户,第三个参数:500以上就是后面建的账户,其它则为系统的用户. 使用常用命令检查 linux安全建议。 不要安装来历不明的一键脚本。 尽量避免直接使用root用户。 使用较为复杂的密码或者使用密钥登录。 修改ssh默认端口。 关闭数据库远程连接。 总结 检查/etc/init.d/目录是否有异常文件或权限异常。 crontab -l检查是否有异常的定时任务。 top查看是否有异常进程。 who /var/log/wtmp查看最近几次登录是否有异常ip。 linux pid进程pid值0-299为系统进程。 经验: 1.windows进程pid值0-999为系统进程;linux pid进程pid值0-299为系统进程。 进程名称看起来是系统的,但是pid很高,这种进程就有可能是伪造有问题,需核实。 2.windows\linux常见进程名需掌握。 |
-
数字中国产品
云服务器 云服务器托管 云虚拟主机 云监控 -
ag九游会登陆j9的解决方案
游戏云ag九游会登陆j9的解决方案 电商云ag九游会登陆j9的解决方案 金融云ag九游会登陆j9的解决方案 网站云ag九游会登陆j9的解决方案 移动云ag九游会登陆j9的解决方案 -
帮助与支持
产品文档 whois查询 控制面板 备案服务 工单服务 -
其他链接
ag九游会登陆j9的简介 联系ag九游会登陆j9 新闻公告 ag九游会登陆j9的友情链接 服务协议 -
联系ag九游会登陆j9
服务热线: 15351611861电子邮箱:[email protected]联系地址:江苏省徐州市金地国际b座2303室 -
