我們在使用服務器的時候經常會遇到各種各樣的***,有的會導致服務器卡頓、延遲甚至崩潰,更有甚者會拿來挖礦大幅度損耗機器硬件。所以我們要養成良好的使用習慣,經常檢查看是否有被黑或者系統漏洞。那麼如何排查系統是否被黑?
1.存在隱藏用戶或異常用戶
以Windows爲例,右鍵計算機 -> 管理 -> 查看本地用戶和組,如果用戶或用戶組帶有$符號,說明該用戶/用戶組被隱藏,很有可能被黑了。
2.異常進程
通過任務管理器查看是否存在異常進程,比如phpstudy被黑後可能存在12345.exe這類數字開頭的進程。或者一些temp臨時文件以管理員身份運行
3.異常腳本或可執行文件
可以檢查Windows常見的幾個系統目錄,比如C:Windows、C:WindowsSystem32,大量異常腳本,或可執行文件。
4.異常進程佔用CPU
注意進程描述,運行用戶是否使用了system/administrator權限較高的用戶。
Windows安全建議:
修改默認遠程連接端口
不使用弱密碼
不安裝來歷不明的軟件(比如xx破解版、xx綠色版)
安裝必要的殺毒軟件
普通賬戶運行mysql、mssql;儘量避免system或管理員運行
儘量關閉數據庫遠程