乐鱼体育官网最新版

如何排查服务器是否被入侵

  • 发布时间:2012-11-01 00:00:00
  • 阅读次数:3008

Windows操作系统

1、异常用户

在计算机管理中,查看本地用户和组。如果出现不是系统管理员添加的用户,说明服务器很有可能被入侵了。

2、异常进程

通过任务管理器查看是否存在异常进程,比如phpstudy被黑后可能存在12345.exe这类数字开头的进程,或者一些临时文件以管理员身份运行。

3、异常文件

检查Windows常见的几个系统目录,比如C:\Windows、C:\Windows\System32。如果出现异常可执行文件,说明服务器很有可能被入侵了。

4、异常程序

检查控制面板的程序和功能里面,是不是被安装了其他软件。

Linux操作系统

1、异常进程

用top命令查看是否有占用CPU较高的进程。下面截图的进程异常,并且占用较高CPU。

2、Linux系统中出现类似Windows的目录或文件

如果判断不是自己上传的,很有可能系统被黑或体育库被黑。

3、检查定时任务crontab

使用crontab -l检查定时任务是否异常,比如下面第二条定时任务执行删除wwwroot目录,可能存在异常。

[root@xiaoz home]# crontab -l
*/20 * * * * /usr/sbin/ntpdate pool.ntp.org > /dev/null 2>&1* 
1 20 * *  /bin/rm -rf /home/wwwroot

4、检查/etc/init.d/目录

检查这个目录是否有异常文件,或者一些奇怪的文件拥有x可执行权限。使用ll -t按照时间排序检查,最近添加的或一些不认识的服务,可能存在异常。

5、检查/etc/rc.local

cat /etc/rc.local命令检查是否有加载异常启动。如果有启动项,都需要核实是否异常。

6、检查/etc/passwd

cat /etc/passwd命令检查是否有异常账户,第三个参数:500以上就是后面建的账户,其它则为系统用户。

7、其他常用命令检查

  • history 查看历史命令
  • cat /etc/group 查看组
  • who 查看当前在线用户
  • who /var/log/wtmp 查看最近登录情况
  • screen -ls 列出所有session

【全文完】

< 上一篇:各类主机产品的续费和删除标准 下一篇:网站空间伪静态的设置方法 >