Windows、Linux快速排查系統(tǒng)是否被黑

一、Windows

1.存在隱藏用戶(hù)或異常用戶(hù)

以Windows為例，右鍵計(jì)算機(jī) -> 管理 -> 查看本地用戶(hù)和組，如果用戶(hù)或用戶(hù)組帶有$符號(hào)，說(shuō)明該用戶(hù)/用戶(hù)組被隱藏，很有可能被黑了。如下截圖

2.異常進(jìn)程

通過(guò)任務(wù)管理器查看是否存在異常進(jìn)程，比如phpstudy被黑后可能存在12345.exe這類(lèi)數(shù)字開(kāi)頭的進(jìn)程。或者一些temp臨時(shí)文件以管理員身份運(yùn)行 

如果用戶(hù)安裝了phpstudy查看有某些數(shù)字進(jìn)程 

3.異常腳本或可執(zhí)行文件

可以檢查Windows常見(jiàn)的幾個(gè)系統(tǒng)目錄，比如C:\Windows、C:\Windows\System32，大量異常腳本，或可執(zhí)行文件。

4.異常進(jìn)程占用CPU

注意進(jìn)程描述，運(yùn)行用戶(hù)是否使用了system/administrator權(quán)限較高的用戶(hù)。 

Windows安全建議

• 修改默認(rèn)遠(yuǎn)程連接端口

• 不使用弱密碼

• 不安裝來(lái)歷不明的軟件（比如xx破解版、xx綠色版）

• 安裝必要的殺毒軟件

• 普通賬戶(hù)運(yùn)行mysql、mssql；盡量避免system或管理員運(yùn)行

• 盡量關(guān)閉數(shù)據(jù)庫(kù)遠(yuǎn)程

• 通過(guò)官方update及時(shí)更新系統(tǒng)補(bǔ)丁

總結(jié)

• 查看Windows用戶(hù)和組是否異常

• 任務(wù)管理器查看是否有占用較高的進(jìn)程、異常進(jìn)程

• 查看常見(jiàn)的目錄如C:\Windows是否有異常腳本或可執(zhí)行文件

• 檢查事件查看器是否有異常用戶(hù)/異常IP登錄

• windows進(jìn)程中PID值0-999為系統(tǒng)進(jìn)程。

二、Linux

可以用top命令查看是否有占用CPU較高的進(jìn)程，下面截圖的進(jìn)程異常，并且占用較高CPU 

2.linux系統(tǒng)中出現(xiàn)類(lèi)似Windows的目錄或可執(zhí)行文件

如果判斷不是用戶(hù)自己上傳的，很有可能系統(tǒng)被黑或數(shù)據(jù)庫(kù)被黑

3.檢查定時(shí)任務(wù)crontab

可以使用crontab -l檢查定時(shí)任務(wù)是否異常，比如* 1 20 * * /bin/rm -rf /home/wwwroot計(jì)劃執(zhí)行刪除wwwroot目錄，可能存在異常。

#查看定時(shí)任務(wù)
[root@xiaoz home]# crontab -l
*/20 * * * * /usr/sbin/ntpdate pool.ntp.org > /dev/null 2>&1* 
1 20 * *  /bin/rm -rf /home/wwwroot

4.檢查/etc/init.d/目錄

檢查這個(gè)目錄是否有異常文件，或者一些奇怪的文件擁有x可執(zhí)行權(quán)限。ll -t按照時(shí)間排序，最近添加的、一些不認(rèn)識(shí)的服務(wù)，打開(kāi)查看執(zhí)行內(nèi)容分析。

5.檢查/etc/rc.local

vi /etc/rc.local 是否有加載異常啟動(dòng)。如果有都需核實(shí)是否正常。

6.檢查/etc/passwd

vi /etc/passwd 是否有異常賬戶(hù)，第三個(gè)參數(shù):500以上就是后面建的賬戶(hù)，其它則為系統(tǒng)的用戶(hù).

使用常用命令檢查

history:查看歷史命令 
crontab -l:查看定時(shí)任務(wù) 
cat /etc/passwd:查看已經(jīng)創(chuàng)建的用戶(hù) 
cat /etc/group:查看組 
who:當(dāng)前在線用戶(hù) 
who /var/log/wtmp:最近登錄情況 
screen -ls:列出所有session

linux安全建議

• 不要安裝來(lái)歷不明的一鍵腳本

• 盡量避免直接使用root用戶(hù)

• 使用較為復(fù)雜的密碼或者使用密鑰登錄

• 修改SSH默認(rèn)端口

• 關(guān)閉數(shù)據(jù)庫(kù)遠(yuǎn)程連接

總結(jié)

• 檢查/etc/init.d/目錄是否有異常文件或權(quán)限異常

• crontab -l檢查是否有異常的定時(shí)任務(wù)

• top查看是否有異常進(jìn)程

• who /var/log/wtmp查看最近幾次登錄是否有異常IP

• linux pid進(jìn)程PID值0-299為系統(tǒng)進(jìn)程。

• 持續(xù)完善中，若有不足之處歡迎修正。^_^

經(jīng)驗(yàn)：

1.windows進(jìn)程PID值0-999為系統(tǒng)進(jìn)程；linux pid進(jìn)程PID值0-299為系統(tǒng)進(jìn)程。 進(jìn)程名稱(chēng)看起來(lái)是系統(tǒng)的，但是pid很高，這種進(jìn)程就有可能是偽造有問(wèn)題，需核實(shí)。

2.windows\linux常見(jiàn)進(jìn)程名需掌握。