Windows、Linux快速排查系統是否被黑

一、Windows

1.存在隱藏使用者或異常使用者

以Windows為例，右鍵計算機 -> 管理 -> 檢視本地使用者和組，如果使用者或使用者組帶有$符號，說明該使用者/使用者組被隱藏，很有可能被黑了。如下截圖

2.異常程式

透過工作管理員檢視是否存在異常程式，比如phpstudy被黑後可能存在12345.exe這類數字開頭的程式。或者一些temp臨時檔案以管理員身份執行

如果使用者安裝了phpstudy檢視有某些數字程式

3.異常指令碼或可執行檔案

可以檢查Windows常見的幾個系統目錄，比如C:\Windows、C:\Windows\System32，大量異常指令碼，或可執行檔案。

4.異常程式佔用CPU

注意程式描述，執行使用者是否使用了system/administrator許可權較高的使用者。

Windows安全建議

修改預設遠端連線埠。

不使用弱密碼。

不安裝來歷不明的軟體（比如xx破解版、xx綠色版）。

安裝必要的防毒軟體。

普通賬戶執行mysql、mssql；儘量避免system或管理員執行。

儘量關閉資料庫遠端。

透過官方update及時更新系統補丁。

總結

檢視Windows使用者和組是否異常。

工作管理員檢視是否有佔用較高的程式、異常程式。

檢視常見的目錄如C:\Windows是否有異常指令碼或可執行檔案。

檢查事件檢視器是否有異常使用者/異常IP登入。

windows程式中PID值0-999為系統程式。

二、Linux

1.異常程式

可以用top命令檢視是否有佔用CPU較高的程式，下面截圖的程式異常，並且佔用較高CPU

2.linux系統中出現類似Windows的目錄或可執行檔案

如果判斷不是使用者自己上傳的，很有可能系統被黑或資料庫被黑

3.檢查定時任務crontab

可以使用crontab -l檢查定時任務是否異常，比如 1 20 * /bin/rm -rf /home/wwwroot計劃執行刪除wwwroot目錄，可能存在異常。

檢視定時任務

[root@xiaoz home]# crontab -l */20 * * * * /usr/sbin/ntpdate pool.ntp.org > /dev/null 2>&1* 1 20 * * /bin/rm -rf /home/wwwroot

4.檢查/etc/init.d/目錄

檢查這個目錄是否有異常檔案，或者一些奇怪的檔案擁有x可執行許可權。ll -t按照時間排序，最近新增的、一些不認識的服務，開啟檢視執行內容分析。

5.檢查/etc/rc.local

vi /etc/rc.local 是否有載入異常啟動。如果有都需核實是否正常。

6.檢查/etc/passwd

vi /etc/passwd 是否有異常賬戶，第三個引數:500以上就是後面建的賬戶，其它則為系統的使用者.

使用常用命令檢查

history:檢視歷史命令 crontab -l:檢視定時任務 cat /etc/passwd:檢視已經建立的使用者 cat /etc/group:檢視組 who:當前線上使用者 who /var/log/wtmp:最近登入情況 screen -ls:列出所有session

linux安全建議。

不要安裝來歷不明的一鍵指令碼。

儘量避免直接使用root使用者。

使用較為複雜的密碼或者使用金鑰登入。

修改SSH預設埠。

關閉資料庫遠端連線。

總結

檢查/etc/init.d/目錄是否有異常檔案或許可權異常。

crontab -l檢查是否有異常的定時任務。

top檢視是否有異常程式。

who /var/log/wtmp檢視最近幾次登入是否有異常IP。

linux pid程式PID值0-299為系統程式。

經驗：

1.windows程式PID值0-999為系統程式；linux pid程式PID值0-299為系統程式。 程式名稱看起來是系統的，但是pid很高，這種程式就有可能是偽造有問題，需核實。

2.windows\linux常見程式名需掌握。