当设备遭到入侵后，我们该如何排查可疑程序和进程呢？本文将为你介绍在Windows和Linux系统中常用的排查方法。

Windows系统

对于windows系统。我们优先考虑通过各种杀毒软件进行杀毒扫描。当然如何shell是免杀的话，我们只能进行手动排查！

?查看账号

攻击者为了方便登录系统。往往会給自己添加相应的账号，并且有些账号可能是隐藏账号。

?普通账号

首先win+r输入下面命令

lusrmgr.msc

?隐藏账号

win+r输入regedit查看HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

?系统日志分析

win+r输入eventvwr.msc -> windows日志

✈️排查网络与端口

如何设备遭到入侵，哪么设备和攻击者之间肯定会建立通信。这时我们可以检查可疑的IP和端口。

netstat -ano

⚽排查恶意进程

tasklist

?检查自启动

win+r输入msconfig，查看自启动服务。

?检查计划任务

schtasks

?最近打开文件

win+r输入%UserProfile%\Recent

Linux系统

对于Linux系统，排查难度和Windows相比难度略有提升。在使用安全狗 D盾 云锁等常规WAF无果的情况下。我们可以手动进行排查。

?历史执行命令记录

在Linux中，我们可以查看执行各种命令的历史记录。

history

?检查定时任务

ls /etc/cron*

❄️查看用户

cat /etc/passwd

?查看登录及重启记录

last

?网络与端口

netstat -alntp

?查看进程

ps -aux

?查看自启程序

ls –alt /etc/init.d/

总结

相对于各种服务器厂商，我觉得目前做的还是特别好。如阿里云和腾讯云。一旦服务器有异常，会第一时间通知管理员。当然很多安全产品需要大量的经济支持。

更多精彩文章 欢迎关注我们