1、检查进程
(1)输入top,shift+p按照cpu排序,查看下是否有异常的进程占用cpu很高。
(2)ps aux | more 检查所有进程,找出不是很常见的进行下排查,
查看到pid后检查proc位置检查下的pid路径,找到异常进程的程序文件,kill掉进程,然后删除
2、检查启动项
(1)检查/etc/init.d/目录,有无异常服务
(2)vi /etc/rc.local 查看有无异常启动项
(3)centos可使用chkconfig查看3为on的服务
3、检查计划任务
(1)crontab -l查看有没有被加入异常的计划任务,如果有需要根据文件路径做处理删除
(2)检查/var/spool/cron有无用户的计划任务(部分计划任务是以其他用户添加的)
(3)检查/etc/cron.daily/等下面的计划任务,打开查看下,比如vi /etc/cron.daily/logrotate
黑客可以在一些正常的计划任务中添加异常代码,实现异常的启动项
cron.d 系统级别的定时任务
cron.daily 系统每天要执行的计划任务
cron.hourly 系统每小时要执行的计划任务
cron.monthly 系统每月要执行的计划任务
cron.weekly 系统每周要执行的计划任务
可以将计划任务文件设定为只读
chattr -R +ia /var/spool/cron/
chattr -R +ia /etc/cron.d
lsattr 命令可以查看文件属性。chattr -ia 消除属性
4、检查用户和组
(1)查看/etc/passwd下的异常用户
(2)查看/etc/group组中有无异常
(3)检查空口令、uid为0的用户、具有登录权限的用户
使用命令 awk -F: '($7=="/bin/bash"){print $1}' /etc/passwd 查看具有登录权限的用户
使用命令 awk -F: '($3==0)' /etc/passwd 查看UID为0的账号,UID为0的用户会自动切换到root用户,所以危害很大正常只有root
使用命令 awk -F: '($2=="")' /etc/shadow 查看空口令账号,如果存在空口令用户的话必须设置密码
5、检查应用的敏感目录
比如/tmp/ MySQL的运行data目录,检查有没有类似windows路径的文件,检查有没有被注入大量恶意信息 ,如果发现有很多异常的程序,需要删除下(这种一般不容易清理干净,可以进行下备份恢复)
文章评论 本文章有个评论