自动秒收录

Windows、Linux快速排查系统是否被黑


文章编号:1796 / 分类:技术教程 / 更新时间:2023-04-12 10:23:30 / 浏览:

1.存在隐藏用户或异常用户

WindowsLinux快速排查系统是否被

windows为例,右键计算机->管理->查看本地用户和组,如果用户或用户组带有$符号,说明该用户/用户组被隐藏,很有可能被黑了。如下截图

通过任务管理器查看是否存在异常进程,比如phpstudy被黑后可能存在12345.exe这类数字开头的进程。或者一些temp临时文件以管理员身份运行

如果用户安装了phpstudy查看有某些数字进程

3.异常脚本或可执行文件

可以检查Windows常见的几个系统目录,比如C:\Windows、C:\Windows\System32,大量异常脚本,或可执行文件。

注意进程描述,运行用户是否使用了system/administrator权限较高的用户。

修改默认远程连接端口

不安装来历不明的软件(比如xx破解版、xx绿色版)

安装必要的杀毒软件

普通账户运行mysql、mssql;尽量避免system或管理员运行

尽量关闭数据库远程

通过官方update及时更新系统补丁

查看Windows用户和组是否异常

任务管理器查看是否有占用较高的进程、异常进程

查看常见的目录如C:\Windows是否有异常脚本或可执行文件

windows进程中PID值0-999为系统进程。

可以用top命令查看是否有占用CPU较高的进程,下面截图的进程异常,并且占用较高CPU

2.linux系统中出现类似Windows的目录或可执行文件

如果判断不是用户自己上传的,很有可能系统被黑或数据库被黑

可以使用crontab-l检查定时任务是否异常,比如*120**/bin/rm-rf/home/wwwroot计划执行删除wwwroot目录,可能存在异常。

检查这个目录是否有异常文件,或者一些奇怪的文件拥有x可执行权限。ll-t按照时间排序,最近添加的、一些不认识的服务,打开查看执行内容分析。

vi/etc/rc.local是否有加载异常启动。如果有都需核实是否正常。

vi/etc/passwd是否有异常账户,第三个参数:500以上就是后面建的账户,其它则为系统的用户.

使用常用命令检查

cat/etc/passwd:查看已经创建的用户

不要安装来历不明的一键脚本

尽量避免直接使用root用户

关闭数据库远程连接

检查/etc/init.d/目录是否有异常文件或权限异常

crontab-l检查是否有异常的定时任务

top查看是否有异常进程

linuxpid进程PID值0-299为系统进程。

持续完善中,若有不足之处欢迎修正。^_^

1.windows进程PID值0-999为系统进程;linuxpid进程PID值0-299为系统进程。进程名称看起来是系统的,但是pid很高,这种进程就有可能是伪造有问题,需核实。

2.windows\linux常见进程名需掌握。

扫描二维码推送至手机访问。

3浏览自媒体运营与推广

2浏览网站结构优化

2浏览外部链接建设

2浏览自媒体运营与推广


相关标签: 网站被黑

本文地址:https://www.badfl.com/article/29d96a25f00f4c760973.html

上一篇:windows服务器和虚拟主机如何创建开头的文...
下一篇:弹性云主机innodb单个数据库恢复方法...

发表评论

温馨提示

做上本站友情链接,在您站上点击一次,即可自动收录并自动排在本站第一位!
<a href="https://www.badfl.com/" target="_blank">自动秒收录</a>