一.窗口1。存在隐藏用户或异常用户。

以Windows为例。右键单击计算机-管理-查看本地用户和组。如果一个用户或用户组有一个$符号，说明这个用户/用户组是隐藏的，很可能被黑客攻击了。以下截图

2.异常过程

通过任务管理器检查是否有异常进程。例如，phpstudy被黑客攻击后，可能会有以12345.exe等数字开头的进程。或者一些以管理员身份运行的临时文件。

如果用户安装了phpstudy，检查是否有一些数字流程。

3.异常脚本或可执行文件

可以查看Windows的几个常用系统目录，如C: \ \ \ Windows，C: \ \ \ Windows \ \ \ System32，大量异常脚本，或者可执行文件。

4.异常进程占用CPU

注意流程描述，运行用户是否使用了系统/管理员权限更高的用户。

Windows安全建议

修改默认远程连接端口。

不要使用弱密码。

不要安装来历不明的软件(如xx破解版、xx绿版)。

安装必要的杀毒软件。

普通账号运行mysql和mssql；尽量避免系统或管理员运行。

尝试远程关闭数据库。

通过官方更新及时更新系统补丁。

摘要

检查Windows用户和组是否异常。

任务管理器检查是否有占用率高的进程和异常进程。

检查C: \ \ \ Windows等常用目录中是否有异常脚本或可执行文件。

检查事件查看器中的异常用户/异常IP登录。

windows进程中的PID值0-999为系统进程。

第二，Linux1。异常过程

您可以使用top命令来查看是否有占用高CPU的进程。下面截图中的进程异常，占用CPU高。

2.类似Windows的目录或可执行文件出现在2.linux系统中。

如果判断不是用户自己上传的，很有可能是系统被黑或者数据库被黑。

3.检查定时任务crontab

可以使用crontab -l检查调度的任务是否异常，比如1 20* /bin/rm -rf /home/wwwroot计划删除wwwroot目录，可能是异常。

查看计划任务

[root @ xiaozhome]# crontab-l */20 * * */usr/sbin/NTP date pool.ntp.org/dev/null 21 * 1 20 * */bin/RM-RF/home/wwwroot 4。检查/etc/init.d/目录。

检查这个目录下是否有异常文件，或者一些奇怪的文件有X可执行权限。Ll -t按时间排序，打开最近添加和未知的服务进行内容分析。

5.Check /etc/rc.local

vi /etc/rc.local是否有异常启动加载。如果有，就要验证是否正常。

6.检查/etc/passwd

vi /etc/passwd中是否有异常账号，第三个参数：500以上为后期建立的账号，其他为系统用户。

使用常用命令检查

History:查看历史命令crontab -l:查看计划任务cat /etc/passwd:查看创建的用户cat /etc/group:查看组who:当前在线用户who /var/log/wtmp:最近登录屏幕-ls:列出所有会话。

Linux安全建议。

不要安装来历不明的一键脚本。

尽量避免直接使用root。

使用复杂的密码或密钥登录。

修改SSH默认端口。

关闭数据库远程连接。

摘要

检查/etc/init.d/目录中的异常文件或异常权限。

Crontab -l检查是否有异常的调度任务。

顶看看有没有什么异常的过程。

Who /var/log/wtmp检查最近登录是否有异常IP。

Linux pid进程pid值0-299是系统进程。

体验：

1.windows进程PID值0-999为系统进程；Linux pid进程pid值0-299是系统进程。流程名称看似系统，但pid很高，所以这个流程可能是伪造的，有问题，需要验证。

2.Windows \ \ \ Linux的常用进程名需要掌握。

更多关于云服务器，域名注册，虚拟主机的问题，请访问西部数码代理官网：www.chenqinet.cn。