安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
WINDOWS、LINUX服务器快速排查系统是否被黑
2020-09-21 17:53:00 【

一、WINDOWS

1.存在隐藏用户或异常用户

右键 计算机 -> 管理 -> 查看本地用户和组,如果用户或用户组带有$符号,说明该用户/用户组被隐藏,基本上就是被黑了。如下截图

WINDOWS、LINUX服务器快速排查系统是否被黑    

WINDOWS、LINUX服务器快速排查系统是否被黑    

WINDOWS、LINUX服务器快速排查系统是否被黑    

2.异常进程

通过任务管理器查看是否存在异常进程,比如phpstudy被黑后可能存在12345.exe这类数字开头的进程。或者一些temp临时文件以管理员身份运行

WINDOWS、LINUX服务器快速排查系统是否被黑    

如果用户安装了phpstudy查看有某些数字进程

WINDOWS、LINUX服务器快速排查系统是否被黑    

3.异常脚本或可执行文件

可以检查Windows常见的几个系统目录,比如C:Windows、C:WindowsSystem32,大量异常脚本,或可执行文件。

WINDOWS、LINUX服务器快速排查系统是否被黑    

WINDOWS、LINUX服务器快速排查系统是否被黑    

4.异常进程占用CPU

注意进程描述,运行用户是否使用了system/administrator权限较高的用户。

WINDOWS、LINUX服务器快速排查系统是否被黑    

WINDOWS安全建议

修改默认远程连接端口3389        

不使用弱口令        

不安装来历不明的软件(比如xx破解版、xx绿色版)        

安装必要的杀毒软件诺顿,360(查杀引擎全部安装)        

普通账户运行mysql、mssql;尽量避免system或管理员运行

mysql、mssql root,sa管理员账户不使用弱口令        

数据库尽量不监听公网端口,使用本地端口或更改端口        

通过官方update及时更新系统补丁        

总结

查看Windows用户和组是否异常        

任务管理器查看是否有资源占用较高的进程、异常进程        

查看常见的目录如C:Windows是否有异常脚本或可执行文件        

检查事件查看器是否有异常用户/异常IP登录        

windows进程中PID值0-999为系统进程。        

二、LINUX 1.异常进程

可以用top命令查看是否有占用CPU较高的进程,下面截图的进程异常,并且占用较高CPU

WINDOWS、LINUX服务器快速排查系统是否被黑    

2.LINUX系统中出现类似WINDOWS的目录或可执行文件

如果判断不是用户自己上传的,很有可能系统被黑或数据库被黑

WINDOWS、LINUX服务器快速排查系统是否被黑    

3.检查定时任务CRONTAB

可以使用crontab -l检查定时任务是否异常,比如* 1 20 * * /bin/rm -rf /home/wwwroot计划执行删除wwwroot目录,可能存在异常。

#查看定时任务 [root@xiaoz home]# crontab -l */20 * * * * /usr/sbin/ntpdate pool.ntp.org > /dev/null 2>&1* 1 20 * * /bin/rm -rf /home/wwwroot 4.检查/ETC/INIT.D/目录

检查这个目录是否有异常文件,或者一些奇怪的文件拥有x可执行权限。ll -t按照时间排序,最近添加的、一些不认识的服务,打开查看执行内容分析。

WINDOWS、LINUX服务器快速排查系统是否被黑    

5.检查/etc/rc.local

vi /etc/rc.local 是否有加载异常启动。如果有都需核实是否正常。

WINDOWS、LINUX服务器快速排查系统是否被黑    

6.检查/etc/passwd

vi /etc/passwd 是否有异常账户,第三个参数:500以上就是后面建的账户,其它则为系统的用户.

使用常用命令检查

history:查看历史命令

crontab -l:查看定时任务

cat /etc/passwd:查看已经创建的用户

cat /etc/group:查看组

who:当前在线用户

who /var/log/wtmp:最近登录情况

screen -ls:列出所有session

LINUX安全建议

不要安装来历不明的一键脚本        

尽量避免直接使用root用户登录        

使用较为复杂的密码或者使用密钥登录        

修改SSH默认端口        

关闭数据库远程连接        

总结

检查/etc/init.d/目录是否有异常文件或权限异常        

crontab -l检查是否有异常的定时任务        

top查看是否有异常进程        

who /var/log/wtmp查看最近几次登录是否有异常IP        

linux pid进程PID值0-299为系统进程。        


1.windows进程PID值0-999为系统进程;linux pid进程PID值0-299为系统进程。进程名称看起来是系统的,但是pid很高,这种进程就有可能是伪造有问题,需核实。要记住常见的系统进程名。

Tag标签: 进程 WINDOWS nbsp LINUX 服务器 <a style="color: rgb(102, 102, 102); text-decoration: none; overflow-wrap: break-word;" href="http://www.safebase.cn/search.php?mod=portal&srchtxt=%BC%EC%B2%E9&searchsubmit=yes%20target=" _blank"="">检查


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇Dridex木马新变种来袭,小心来历.. 下一篇Microsoft CISO:安全团队的装备..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800