一、Windows
1.存在隱藏用戶或異常用戶
以Windows為例,右鍵計算機 -> 管理 -> 查看本地用戶和組,如果用戶或用戶組帶有$符號,說明該用戶/用戶組被隱藏,很有可能被黑了。如下截圖
2.異常進程
通過任務管理器查看是否存在異常進程,比如phpstudy被黑后可能存在12345.exe這類數(shù)字開頭的進程。或者一些temp臨時文件以管理員身份運行
如果用戶安裝了phpstudy查看有某些數(shù)字進程
3.異常腳本或可執(zhí)行文件
可以檢查Windows常見的幾個系統(tǒng)目錄,比如C:Windows、C:WindowsSystem32,大量異常腳本,或可執(zhí)行文件。
4.異常進程占用CPU
注意進程描述,運行用戶是否使用了system/administrator權限較高的用戶。
Windows安全建議
修改默認遠程連接端口。
不使用弱密碼。
不安裝來歷不明的軟件(比如xx破解版、xx綠色版)。
安裝必要的殺毒軟件。
普通賬戶運行mysql、mssql;盡量避免system或管理員運行。
盡量關閉數(shù)據(jù)庫遠程。
通過官方update及時更新系統(tǒng)補丁。
總結
查看Windows用戶和組是否異常。
任務管理器查看是否有占用較高的進程、異常進程。
查看常見的目錄如C:Windows是否有異常腳本或可執(zhí)行文件。
檢查事件查看器是否有異常用戶/異常IP登錄。
windows進程中PID值0-999為系統(tǒng)進程。