Linux

进程检查

使用“top”命令或“ps -aux”命令查看进程,检查进程名字异常(如随机数)或者在非常规目录(如/tmp)情况,检查CPU、内存占用过高进程。

网络连接检查

使用命令“netstat -ano”查看当前的网络连接,检查本地端口开放及外部连接情况。

启动项检查

检查计划任务命令:crontab -l
检查服务启动项:ls -alt /etc/init.d/
检查开机启动项程序:cat /etc/rc.local

账户检查

使用“cat /etc/passwd”命令查看passwd文件内容,根据每行第三段用户UID,检查除root用户外是否存在其他用户的UID为0,以及其他非正常用户信息。

登陆日志检查

查看位于/var/log/secure的Linux SSH登录日志会存储中,是否出现连续大量的登录错误信息,是否遭受口令破解攻击。

可疑命令检查

使用如下命令筛选可疑历史命令:history | grep -E "(whois|sqlmap|nmap|tar|wget|zip|miner)" | grep-vgrep
检查是否曾被执行涉及资产探测、病毒传播的恶意指令。

内网环境检查

隔离检查

使用 ARP、ICMP 探测,确认内网不同系统是否有安全隔离。

内网扫描

授权情况下开展内网探测、高危漏洞检测。推荐fscan、routerscan。

网站应用检查

日志检查

检查网站中间件日志记录,网站用户登陆、重要操作日志记录是否完整,是否存在异常。

上传检查

检查是否允许上传任意类型文件,找上传点尝试上传恶意后缀文件。

网站后门检查

Windows 系统使用 D 盾、Linux 系统使用河马,进行恶意后门检测。

漏洞检查

检查中间件或者其他组件版本查询是否存在漏洞。

权限检查

检查网站目录权限,上传等敏感路径遵守权限最小化原则,防止恶意后门执行。

口令检查

检查网站后台、管理员账户密码是否弱口令。

数据库检查

口令检查

检查数据库口令是否符合安全要求,是否存在Redis 未授权等权限配置风险。

字段检查

检查数据库敏感字段是否加密存储。

日志检查

检查日志是否正常留存,查看日志是否记录恶意攻击。
MySQL查看日志存放路径:show variables like 'general_log_file'
Oracle日志存放路径:showparameter dump

备份检查

检查是否有数据库备份机制,是否有应对数据勒索、篡改攻击应对措施。

Windows

补丁安装情况

通过命令行“systeminfo”获取系统版本、主机名称以及补丁安装情况。检查补丁是否及时修复,Windows 系统重点关注漏洞。

进程检查

任务管理器或者tasklis 命令,查看是否有可疑进程,对 CPU、内存过高进程检查是否是挖矿病毒。第三方工具推荐processhacker。

网络连接检查

使用 netstat -ano 命令,检查本机端口开放情况,检查可疑外部连接。本地高端口访问远程固定端口的情况,才称为可疑外部连接。外部 IP 高端口访问本地固定端口的不作为异常情况。

启动项检查

使用“msconfig”、“taskschd.msc”命令,检查本地启动项、服务、计划任务是否存在可疑项目。第三方工具推荐Autoruns。5)账户检查
使用“net user”命令查看系统账户,检查可疑账户,管理员不认识账户。

登陆日志检查

使用“eventvwr”命令,打开“Windows 日志”/“安全”,筛选事件 ID“4624”,查看成功登陆系统的事件,筛选事件ID“4625”,查看异常登陆情况。检查访问源IP 是否有异常,是否有内网攻击。

如果这篇文章对你有用,麻烦关注一下本人微信公众号~

计算机安全检测_计算机安全