嵌入式开发交流网论坛

标题: WINDOWS、LINUX服务器快速排查系统是否被黑 [打印本页]

作者: langhunbei 时间: 2020-9-20 09:34
标题: WINDOWS、LINUX服务器快速排查系统是否被黑
右键计算机 -> 管理 -> 查看本地用户和组，如果用户或用户组带有$符号，说明该用户/用户组被隐藏，基本上就是被黑了。如下截图
[attach]51700[/attach]WINDOWS、LINUX服务器快速排查系统是否被黑

[attach]51701[/attach]
[attach]51702[/attach]
通过任务管理器查看是否存在异常进程，比如phpstudy被黑后可能存在12345.exe这类数字开头的进程。或者一些temp临时文件以管理员身份运行

[attach]51703[/attach]WINDOWS、LINUX服务器快速排查系统是否被黑
如果用户安装了phpstudy查看有某些数字进程

[attach]51704[/attach]可以检查Windows常见的几个系统目录，比如C:\Windows、C:\Windows\System32，大量异常脚本，或可执行文件。
[attach]51705[/attach]WINDOWS、LINUX服务器快速排查系统是否被黑

[attach]51706[/attach]
注意进程描述，运行用户是否使用了system/administrator权限较高的用户。

[attach]51707[/attach][attach]51708[/attach][attach]51709[/attach]可以使用crontab -l检查定时任务是否异常，比如* 1 20 * * /bin/rm -rf /home/wwwroot计划执行删除wwwroot目录，可能存在异常。
#查看定时任务# crontab -l*/20 * * * * /usr/sbin/ntpdate pool.ntp.org > /dev/null 2>&1* 1 20 * * /bin/rm -rf /home/wwwroot检查这个目录是否有异常文件，或者一些奇怪的文件拥有x可执行权限。ll -t按照时间排序，最近添加的、一些不认识的服务，打开查看执行内容分析。
[attach]51710[/attach]5.检查/etc/rc.local
vi /etc/rc.local 是否有加载异常启动。如果有都需核实是否正常。
[attach]51711[/attach]6.检查/etc/passwd
vi /etc/passwd 是否有异常账户，第三个参数:500以上就是后面建的账户，其它则为系统的用户.
沈阳众诚志联真诚为您服务提醒您：
1.windows进程PID值0-999为系统进程；linux pid进程PID值0-299为系统进程。进程名称看起来是系统的，但是pid很高，这种进程就有可能是伪造有问题，需核实。要记住常见的系统进程名。

欢迎光临嵌入式开发交流网论坛 (http://www.dianzixuexi.com/bbs/)