快速排查Windows、Linux系统是否被黑

排查Windows和Linux系统是否被黑可以通过以下几个步骤来进行：

Windows系统排查

检查隐藏用户或异常用户
- 右键点击“计算机”- “管理”- “查看本地用户和组”，如果发现用户或用户组带有$符号，这可能意味着它们被隐藏，可能是系统被黑的迹象。
检查异常进程
- 使用任务管理器查看是否存在异常进程，比如一些以数字开头的进程，或者一些temp临时文件以管理员身份运行。
- 使用wmic process get name, processid, executablepath命令来查看进程的真实路径。
检查异常文件
- 检查Windows常见的几个系统目录，如C:\Windows、C:\Windows\System32，是否存在异常脚本或可执行文件。
安装杀毒软件
- 安装必要的杀毒软件进行全面扫描，以确保系统没有受到恶意软件感染。
检查计划任务
- 检查crontab和/var/spool/cron中的计划任务，查看是否有被加入异常的计划任务。
检查系统日志
- Linux系统上的日志默认都会放到/var/log下面，通过查看这些日志可以迅速定位问题。

检查异常用户
- 在shell提示符下敲入history来访问历史记录文件，如果发现正在使用history命令但并未出现在之前使用过的命令列表里，这可能意味着历史记录文件被重定向到/dev/null，需要检查~/.bash_history文件]。
- 检查/etc/passwd下的异常用户。
检查异常进程
- 使用top命令查看是否有占用CPU较高的异常进程。
- 使用ps aux | more检查所有进程，找出不是很常见的进行下排查。
检查启动项
- 检查/etc/init.d/目录，有无异常服务。
- vi /etc/rc.local 查看有无异常启动项。
检查定时任务
- 使用crontab-l检查定时任务是否异常。
检查应用的敏感目录
- 检查/tmp/MySQL的运行data目录，有没有被注入大量恶意信息。
检查系统日志
- 在Linux上一般跟系统相关的日志默认都会放到/var/log下面，通过查看这些日志可以迅速定位问题。