安基網 首頁 安全 系統安全 查看內容

WINDOWS、LINUX服務器快速排查系統是否被黑

2020-9-18 09:31| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 一、WINDOWS1.存在隱藏用戶或異常用戶右鍵 計算機 - 管理 - 查看本地用戶和組,如果用戶或用戶組帶有$符號,說明該用戶/用戶組被隱藏,基本上就是被黑了。如下截圖WINDOWS、LINUX服務器快速排查系統是否被黑WINDOWS、LINUX服務器快速排查系統是否被黑WINDOWS、LINUX服務器快速排查系統是否被黑2.異常進 ...

一、WINDOWS

1.存在隱藏用戶或異常用戶

右鍵 計算機 -> 管理 -> 查看本地用戶和組,如果用戶或用戶組帶有$符號,說明該用戶/用戶組被隱藏,基本上就是被黑了。如下截圖

WINDOWS、LINUX服務器快速排查系統是否被黑

WINDOWS、LINUX服務器快速排查系統是否被黑

WINDOWS、LINUX服務器快速排查系統是否被黑

2.異常進程

通過任務管理器查看是否存在異常進程,比如phpstudy被黑后可能存在12345.exe這類數字開頭的進程。或者一些temp臨時文件以管理員身份運行

WINDOWS、LINUX服務器快速排查系統是否被黑

如果用戶安裝了phpstudy查看有某些數字進程

WINDOWS、LINUX服務器快速排查系統是否被黑

3.異常腳本或可執行文件

可以檢查Windows常見的幾個系統目錄,比如C:WindowsC:WindowsSystem32,大量異常腳本,或可執行文件。

WINDOWS、LINUX服務器快速排查系統是否被黑

WINDOWS、LINUX服務器快速排查系統是否被黑


4.異常進程占用CPU

注意進程描述,運行用戶是否使用了system/administrator權限較高的用戶。

WINDOWS、LINUX服務器快速排查系統是否被黑

WINDOWS安全建議

  • 修改默認遠程連接端口3389
  • 不使用弱口令
  • 不安裝來歷不明的軟件(比如xx破解版、xx綠色版)
  • 安裝必要的殺毒軟件諾頓,360(查殺引擎全部安裝)
  • 普通賬戶運行mysql、mssql;盡量避免system或管理員運行
    mysql、mssql root,sa管理員賬戶不使用弱口令
  • 數據庫盡量不監聽公網端口,使用本地端口或更改端口
  • 通過官方update及時更新系統補丁

總結

  • 查看Windows用戶和組是否異常
  • 任務管理器查看是否有資源占用較高的進程、異常進程
  • 查看常見的目錄如C:Windows是否有異常腳本或可執行文件
  • 檢查事件查看器是否有異常用戶/異常IP登錄
  • windows進程中PID值0-999為系統進程。

二、LINUX

1.異常進程

可以用top命令查看是否有占用CPU較高的進程,下面截圖的進程異常,并且占用較高CPU

WINDOWS、LINUX服務器快速排查系統是否被黑

2.LINUX系統中出現類似WINDOWS的目錄或可執行文件

如果判斷不是用戶自己上傳的,很有可能系統被黑或數據庫被黑

WINDOWS、LINUX服務器快速排查系統是否被黑

3.檢查定時任務CRONTAB

可以使用crontab -l檢查定時任務是否異常,比如* 1 20 * * /bin/rm -rf /home/wwwroot計劃執行刪除wwwroot目錄,可能存在異常。

#查看定時任務
[[email protected] home]# crontab -l
*/20 * * * * /usr/sbin/ntpdate pool.ntp.org > /dev/null 2>&1* 
1 20 * *  /bin/rm -rf /home/wwwroot

4.檢查/ETC/INIT.D/目錄

檢查這個目錄是否有異常文件,或者一些奇怪的文件擁有x可執行權限。ll -t按照時間排序,最近添加的、一些不認識的服務,打開查看執行內容分析。

WINDOWS、LINUX服務器快速排查系統是否被黑

5.檢查/etc/rc.local

vi /etc/rc.local 是否有加載異常啟動。如果有都需核實是否正常。

WINDOWS、LINUX服務器快速排查系統是否被黑

6.檢查/etc/passwd

vi /etc/passwd 是否有異常賬戶,第三個參數:500以上就是后面建的賬戶,其它則為系統的用戶.

使用常用命令檢查

history:查看歷史命令
crontab -l:查看定時任務
cat /etc/passwd:查看已經創建的用戶
cat /etc/group:查看組
who:當前在線用戶
who /var/log/wtmp:最近登錄情況
screen -ls:列出所有session

LINUX安全建議

  • 不要安裝來歷不明的一鍵腳本
  • 盡量避免直接使用root用戶登錄
  • 使用較為復雜的密碼或者使用密鑰登錄
  • 修改SSH默認端口
  • 關閉數據庫遠程連接

總結

  • 檢查/etc/init.d/目錄是否有異常文件或權限異常
  • crontab -l檢查是否有異常的定時任務
  • top查看是否有異常進程
  • who /var/log/wtmp查看最近幾次登錄是否有異常IP
  • linux pid進程PID值0-299為系統進程。

沈陽眾誠志聯真誠為您服務提醒您:

1.windows進程PID值0-999為系統進程;linux pid進程PID值0-299為系統進程。進程名稱看起來是系統的,但是pid很高,這種進程就有可能是偽造有問題,需核實。要記住常見的系統進程名。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/i6873003310429766148/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
创业如何赚钱 时时乐上海开奖结果时 一定牛11选五走势图 湖北十一选五存款 广东快乐十分开奖结果走势图表 浙江6十1开奖20007 快乐十分app官方下载 南粤26选5开奖结果 重庆幸运农场开奖官网 手机上怎么买股票 甘肃十一选五助手 时时彩软件吧后二 安徽快3开奖结果今天3 北京快中彩计划软件 甘肃11选5前三遗漏 陕西快乐十分开奖官网 新疆11选5专家