计算机安全检测

Linux

进程检查

使用“top”命令或“ps -aux”命令查看进程，检查进程名字异常（如随机数）或者在非常规目录（如/tmp）情况，检查CPU、内存占用过高进程。

网络连接检查

使用命令“netstat -ano”查看当前的网络连接，检查本地端口开放及外部连接情况。

启动项检查

检查计划任务命令：crontab -l
检查服务启动项：ls -alt /etc/init.d/
检查开机启动项程序：cat /etc/rc.local

账户检查

使用“cat /etc/passwd”命令查看passwd文件内容，根据每行第三段用户UID，检查除root用户外是否存在其他用户的UID为0，以及其他非正常用户信息。

登陆日志检查

查看位于/var/log/secure的Linux SSH登录日志会存储中，是否出现连续大量的登录错误信息，是否遭受口令破解攻击。

可疑命令检查

使用如下命令筛选可疑历史命令：history | grep -E "(whois|sqlmap|nmap|tar|wget|zip|miner)" | grep-vgrep
检查是否曾被执行涉及资产探测、病毒传播的恶意指令。

内网环境检查

隔离检查

使用 ARP、ICMP 探测，确认内网不同系统是否有安全隔离。

内网扫描

授权情况下开展内网探测、高危漏洞检测。推荐fscan、routerscan。

网站应用检查

日志检查

检查网站中间件日志记录，网站用户登陆、重要操作日志记录是否完整，是否存在异常。

上传检查

检查是否允许上传任意类型文件，找上传点尝试上传恶意后缀文件。

网站后门检查

Windows 系统使用 D 盾、Linux 系统使用河马，进行恶意后门检测。

漏洞检查

检查中间件或者其他组件版本查询是否存在漏洞。

权限检查

检查网站目录权限，上传等敏感路径遵守权限最小化原则，防止恶意后门执行。

口令检查

检查网站后台、管理员账户密码是否弱口令。

数据库检查

口令检查

检查数据库口令是否符合安全要求，是否存在Redis 未授权等权限配置风险。

字段检查

检查数据库敏感字段是否加密存储。

日志检查

检查日志是否正常留存，查看日志是否记录恶意攻击。
MySQL查看日志存放路径：show variables like 'general_log_file'
Oracle日志存放路径：showparameter dump

备份检查

检查是否有数据库备份机制，是否有应对数据勒索、篡改攻击应对措施。

Windows

补丁安装情况

通过命令行“systeminfo”获取系统版本、主机名称以及补丁安装情况。检查补丁是否及时修复，Windows 系统重点关注漏洞。

进程检查

任务管理器或者tasklis 命令，查看是否有可疑进程，对 CPU、内存过高进程检查是否是挖矿病毒。第三方工具推荐processhacker。

网络连接检查

使用 netstat -ano 命令，检查本机端口开放情况，检查可疑外部连接。本地高端口访问远程固定端口的情况，才称为可疑外部连接。外部 IP 高端口访问本地固定端口的不作为异常情况。

启动项检查

使用“msconfig”、“taskschd.msc”命令，检查本地启动项、服务、计划任务是否存在可疑项目。第三方工具推荐Autoruns。5）账户检查
使用“net user”命令查看系统账户，检查可疑账户，管理员不认识账户。

登陆日志检查

使用“eventvwr”命令，打开“Windows 日志”/“安全”，筛选事件 ID“4624”，查看成功登陆系统的事件，筛选事件ID“4625”，查看异常登陆情况。检查访问源IP 是否有异常，是否有内网攻击。