• 学派吧-由新云网络独家赞助-https://www.sq9.cn。

Linux快速排查系统是否被黑

unix admin 4年前 (2018-04-02) 1250次浏览 已收录 0个评论 扫描二维码

1.异常进程

可以用top命令查看是否有占用CPU较高的进程,下面截图的进程异常,并且占用较高CPU

2.linux系统中出现类似Windows的目录或可执行文件

如果判断不是用户自己上传的,很有可能系统被黑或数据库被黑

3.检查定时任务crontab

可以使用crontab -l检查定时任务是否异常,比如

计划执行删除wwwroot目录,可能存在异常。

#查看定时任务
[root@xiaoz home]# crontab -l
*/20 * * * * /usr/sbin/ntpdate pool.ntp.org > /dev/null 2>&1*
1 20 * * /bin/rm -rf /home/wwwroot

4.检查/etc/init.d/目录

检查这个目录是否有异常文件,或者一些奇怪的文件拥有x可执行权限。ll -t按照时间排序,最近添加的、一些不认识的服务,打开查看执行内容分析。

5.检查/etc/rc.local

vi /etc/rc.local 是否有加载异常启动。如果有都需核实是否正常。

6.检查/etc/passwd

vi /etc/passwd 是否有异常账户,第三个参数:500以上就是后面建的账户,其它则为系统的用户.

使用常用命令检查

history
:查看历史命令
crontab -l
:查看定时任务
cat /etc/passwd
:查看已经创建的用户
cat /etc/group
:查看组
who
:当前在线用户
who /var/log/wtmp
:最近登录情况
screen -ls
:列出所有session

linux安全建议

不要安装来历不明的一键脚本
尽量避免直接使用root用户
使用较为复杂的密码或者使用密钥登录
修改SSH默认端口
关闭数据库远程连接


学派吧 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:Linux快速排查系统是否被黑
喜欢 (0)
[pay@sq9.cn]
分享 (0)
关于作者:
腾讯云-运维运维 QQ 690624
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

Optimized by WPJAM Basic