Windows操作系统

1、异常用户

在计算机管理中，查看本地用户和组。如果出现不是系统管理员添加的用户，说明服务器很有可能被入侵了。

2、异常进程

通过任务管理器查看是否存在异常进程，比如phpstudy被黑后可能存在12345.exe这类数字开头的进程，或者一些临时文件以管理员身份运行。

3、异常文件

检查Windows常见的几个系统目录，比如C:\Windows、C:\Windows\System32。如果出现异常可执行文件，说明服务器很有可能被入侵了。

4、异常程序

检查控制面板的程序和功能里面，是不是被安装了其他软件。

Linux操作系统

1、异常进程

用top命令查看是否有占用CPU较高的进程。下面截图的进程异常，并且占用较高CPU。

2、Linux系统中出现类似Windows的目录或文件

如果判断不是自己上传的，很有可能系统被黑或数据库被黑。

3、检查定时任务crontab

使用crontab -l检查定时任务是否异常，比如下面第二条定时任务执行删除wwwroot目录，可能存在异常。

[root@xiaoz home]# crontab -l
*/20 * * * * /usr/sbin/ntpdate pool.ntp.org > /dev/null 2>&1* 
1 20 * *  /bin/rm -rf /home/wwwroot

4、检查/etc/init.d/目录

检查这个目录是否有异常文件，或者一些奇怪的文件拥有x可执行权限。使用ll -t按照时间排序检查，最近添加的或一些不认识的服务，可能存在异常。

5、检查/etc/rc.local

cat /etc/rc.local命令检查是否有加载异常启动。如果有启动项，都需要核实是否异常。

6、检查/etc/passwd

cat /etc/passwd命令检查是否有异常账户，第三个参数:500以上就是后面建的账户，其它则为系统用户。

7、其他常用命令检查

• history 查看历史命令
• cat /etc/group 查看组
• who 查看当前在线用户
• who /var/log/wtmp 查看最近登录情况
• screen -ls 列出所有session