一、Windows
1.存在隐藏用户或异常用户
以Windows为例,右键计算机 -> 管理 -> 查看本地用户和组,如果用户或用户组带有$符号,说明该用户/用户组被隐藏,很有可能被黑了。如下截图
2.异常进程
通过任务管理器查看是否存在异常进程,比如phpstudy被黑后可能存在12345.exe这类数字开头的进程。或者一些temp临时文件以管理员身份运行
3.异常脚本或可执行文件
可以检查Windows常见的几个系统目录,比如C:Windows、C:WindowsSystem32,大量异常脚本,或可执行文件。
4.异常进程占用CPU
注意进程描述,运行用户是否使用了system/administrator权限较高的用户。
Windows安全建议
修改默认远程连接端口。
不使用弱密码。
不安装来历不明的软件(比如xx破解版、xx绿色版)。
安装必要的杀毒软件。
普通账户运行mysql、mssql;尽量避免system或管理员运行。
尽量关闭数据库远程。
通过官方update及时更新系统补丁。
总结
查看Windows用户和组是否异常。
查看常见的目录如C:Windows是否有异常脚本或可执行文件。
检查事件查看器是否有异常用户/异常IP登录。
二、Linux
1.异常进程
可以用top命令查看是否有占用CPU较高的进程,下面截图的进程异常,并且占用较高CPU
2.linux系统中出现类似Windows的目录或可执行文件
如果判断不是用户自己上传的,很有可能系统被黑或数据库被黑
3.检查定时任务crontab
可以使用crontab -l检查定时任务是否异常,比如 1 20 * /bin/rm -rf /home/wwwroot计划执行删除wwwroot目录,可能存在异常。
查看定时任务
[root@xiaoz home]# crontab -l*/20 * * * * /usr/sbin/ntpdate pool.ntp.org > /dev/null 2>&1*1 20 * * /bin/rm -rf /home/wwwroot
本文链接:https://www.xlyVPS.com/news/content/69.html 复制本文链接 链接已复制
本文链接:https://www.xlyVPS.com/news/content/69.html 复制本文链接 链接已复制