Categories


Tags


Windows、Linux快速排查系统是否被黑

一、Windows

1.存在隐藏用户或异常用户

以Windows为例,右键计算机 -> 管理 -> 查看本地用户和组,如果用户或用户组带有$符号,说明该用户/用户组被隐藏,很有可能被黑了。如下截图

2.异常进程

通过任务管理器查看是否存在异常进程,比如phpstudy被黑后可能存在12345.exe这类数字开头的进程。或者一些temp临时文件以管理员身份运行

如果用户安装了phpstudy查看有某些数字进程

3.异常脚本或可执行文件

可以检查Windows常见的几个系统目录,比如C:\Windows、C:\Windows\System32,大量异常脚本,或可执行文件。

4.异常进程占用CPU

注意进程描述,运行用户是否使用了system/administrator权限较高的用户。

Windows安全建议

修改默认远程连接端口

不使用弱密码

不安装来历不明的软件(比如xx破解版、xx绿色版)

安装必要的杀毒软件

普通账户运行mysql、mssql;尽量避免system或管理员运行

尽量关闭数据库远程

通过官方update及时更新系统补丁

总结

查看Windows用户和组是否异常

任务管理器查看是否有占用较高的进程、异常进程

查看常见的目录如C:\Windows是否有异常脚本或可执行文件

检查事件查看器是否有异常用户/异常IP登录

windows进程中PID值0-999为系统进程。

二、Linux

1.异常进程

可以用top命令查看是否有占用CPU较高的进程,下面截图的进程异常,并且占用较高CPU

2.linux系统中出现类似Windows的目录或可执行文件

如果判断不是用户自己上传的,很有可能系统被黑或数据库被黑

3.检查定时任务crontab

可以使用crontab -l检查定时任务是否异常,比如* 1 20 * * /bin/rm -rf /home/wwwroot计划执行删除wwwroot目录,可能存在异常。

#查看定时任务

[root@xiaoz home]# crontab -l

*/20 * * * * /usr/sbin/ntpdate pool.ntp.org > /dev/null 2>&1*

1 20 * *  /bin/rm -rf /home/wwwroot

4.检查/etc/init.d/目录

检查这个目录是否有异常文件,或者一些奇怪的文件拥有x可执行权限。ll -t按照时间排序,最近添加的、一些不认识的服务,打开查看执行内容分析。

5.检查/etc/rc.local

vi /etc/rc.local 是否有加载异常启动。如果有都需核实是否正常。

1.png

6.检查/etc/passwd

vi /etc/passwd 是否有异常账户,第三个参数:500以上就是后面建的账户,其它则为系统的用户.

使用常用命令检查

history:查看历史命令

crontab -l:查看定时任务

cat /etc/passwd:查看已经创建的用户

cat /etc/group:查看组

who:当前在线用户

who /var/log/wtmp:最近登录情况

screen -ls:列出所有session

linux安全建议

不要安装来历不明的一键脚本

尽量避免直接使用root用户

使用较为复杂的密码或者使用密钥登录

修改SSH默认端口

关闭数据库远程连接

总结

检查/etc/init.d/目录是否有异常文件或权限异常

crontab -l检查是否有异常的定时任务

top查看是否有异常进程

who /var/log/wtmp查看最近几次登录是否有异常IP

linux pid进程PID值0-299为系统进程。

持续完善中,若有不足之处欢迎修正。^_^

经验:

1.windows进程PID值0-999为系统进程;linux pid进程PID值0-299为系统进程。 进程名称看起来是系统的,但是pid很高,这种进程就有可能是伪造有问题,需核实。

2.windows\linux常见进程名需掌握。

来源:西部数码


Public @ 2021-06-19 15:37:29

云主机环境搭建教程之搭建全能主机

本教程将介绍如何在云主机上搭建全能主机,主要包括以下几个步骤: 1.云主机选择 2.安装 LAMP 环境 3.安装 FTP 服务 4.安装 Webmin 管理工具 5.安装 DNS 服务器 步骤1:云主机选择 首先,我们需要选择一款适合作为全能主机的云主机。建议选择配置较高、网络稳定、性价比高的云主机。常用云主机厂商有阿里云、腾讯云、华为云等。 步骤2:安装 LAMP 环境 LAMP环境

Public @ 2023-04-14 08:50:44

[分享]云服务器挂马清理实例

今天,我们将为大家介绍云服务器挂马清理实例,一起来看看吧! 一、准备工作 1、购买云服务器,选择可信任的服务商,以及安全健壮的系统镜像。 2、开启安全日记功能,让系统记录每一个对系统的行为,以便发现系统异常行为。 3、在使用云服务器之前Enable访问安全策略,限制访问IP。 4、安装安全软件,进行持续的病毒扫描,同时更新众多安全补丁。 二、清理被挂马文件 1、如果发现被挂马文件,则Mer

Public @ 2023-02-24 09:48:46

网站被黑,该如何解决呢?

网站被黑是一件非常严重的事情,可能导致数据泄露、服务中断、损失等严重后果。以下是解决网站被黑的建议: 1. 立即停止网站服务:数据遭到破坏是非常严重的,网站管理员应该立即停止网站服务以避免进一步损坏。 2. 确认被入侵的渠道:尽快找出是哪个漏洞或者渠道导致被黑,防止再次被入侵。 3. 采取一系列紧急措施:更改所有密码,备份网站数据,恢复存在备份中的数据,更新所有已知漏洞,限制对网站的访问权限

Public @ 2023-06-01 03:00:21

网站被黑后,如何进行修复?

以下是修复网站被黑的步骤: 1. 立即暂停网站的访问,以防止黑客进一步破坏。如果你有备份,可以将备份文件还原到网站上。 2. 确认网站漏洞是否已经修复,更新所有安全更新和补丁。 3. 更改所有有关网站的密码,包括管理员账户、FTP、数据库、CMS。 4. 删除所有恶意代码和文件。黑客将恶意代码和文件放在服务器上,以便访问控制和数据窃取。要彻底清理网站,可以使用杀毒软件或安全工具来扫描和清除

Public @ 2023-05-28 12:50:22

更多您感兴趣的搜索

0.417398s