Windows、Linux快速排查系統(tǒng)是否被黑

一、Windows

1.存在隱藏用戶或異常用戶

以Windows為例，右鍵計算機 -> 管理 -> 查看本地用戶和組，如果用戶或用戶組帶有$符號，說明該用戶/用戶組被隱藏，很有可能被黑了。如下截圖

2.異常進程

通過任務(wù)管理器查看是否存在異常進程，比如phpstudy被黑后可能存在12345.exe這類數(shù)字開頭的進程。或者一些temp臨時文件以管理員身份運行

如果用戶安裝了phpstudy查看有某些數(shù)字進程

3.異常腳本或可執(zhí)行文件

可以檢查Windows常見的幾個系統(tǒng)目錄，比如C:\Windows、C:\Windows\System32，大量異常腳本，或可執(zhí)行文件。

4.異常進程占用CPU

注意進程描述，運行用戶是否使用了system/administrator權(quán)限較高的用戶。

Windows安全建議

修改默認遠程連接端口
不使用弱密碼
不安裝來歷不明的軟件（比如xx破解版、xx綠色版）
安裝必要的殺毒軟件
普通賬戶運行mysql、mssql；盡量避免system或管理員運行
盡量關(guān)閉數(shù)據(jù)庫遠程
通過官方update及時更新系統(tǒng)補丁

總結(jié)

查看Windows用戶和組是否異常
任務(wù)管理器查看是否有占用較高的進程、異常進程
查看常見的目錄如C:\Windows是否有異常腳本或可執(zhí)行文件
檢查事件查看器是否有異常用戶/異常IP登錄
windows進程中PID值0-999為系統(tǒng)進程。

二、Linux

可以用top命令查看是否有占用CPU較高的進程，下面截圖的進程異常，并且占用較高CPU

2.linux系統(tǒng)中出現(xiàn)類似Windows的目錄或可執(zhí)行文件

如果判斷不是用戶自己上傳的，很有可能系統(tǒng)被黑或數(shù)據(jù)庫被黑

3.檢查定時任務(wù)crontab

可以使用crontab -l檢查定時任務(wù)是否異常，比如* 1 20 * * /bin/rm -rf /home/wwwroot計劃執(zhí)行刪除wwwroot目錄，可能存在異常。

#查看定時任務(wù)
[root@xiaoz home]# crontab -l
*/20 * * * * /usr/sbin/ntpdate pool.ntp.org > /dev/null 2>&1* 
1 20 * *  /bin/rm -rf /home/wwwroot

4.檢查/etc/init.d/目錄

檢查這個目錄是否有異常文件，或者一些奇怪的文件擁有x可執(zhí)行權(quán)限。ll -t按照時間排序，最近添加的、一些不認識的服務(wù)，打開查看執(zhí)行內(nèi)容分析。

5.檢查/etc/rc.local

vi /etc/rc.local 是否有加載異常啟動。如果有都需核實是否正常。

6.檢查/etc/passwd

vi /etc/passwd 是否有異常賬戶，第三個參數(shù):500以上就是后面建的賬戶，其它則為系統(tǒng)的用戶.

使用常用命令檢查

history:查看歷史命令
crontab -l:查看定時任務(wù)
cat /etc/passwd:查看已經(jīng)創(chuàng)建的用戶
cat /etc/group:查看組
who:當前在線用戶
who /var/log/wtmp:最近登錄情況
screen -ls:列出所有session