@CI
3年前 提问
1个回答
Windows 系统服务器被入侵怎么排查
Andrew
3年前
官方采纳
一、检查系统账户
1、查看是否有弱口令,远程管理端口是否开放公网。
2、查看服务器是否存在可疑账户,新增账户。
3、查看服务器是否有隐藏账户。
4、查看日志,查看登陆时间、用户名。
二、检查异常端口、进程
1、检查端口连接情况,是否有远程连接,可疑连接。
2、查看是否有异常用户。
三、检查启动项、计划任务、服务
1、检查服务器是否有异常的启动项
2、检查计划任务
3、服务自启动
四、检查系统相关信息
1、查看系统版本以及补丁信息
2、查找可疑目录及文件
五、下载软件自动化查杀
1、病毒查杀
检查方法:下载安全软件,更新病毒库,进行全盘扫描。
2、webshell查杀
六、日志分析
1、系统日志
2、web访问日志