@CI
3年前 提问
1个回答

Windows 系统服务器被入侵怎么排查

Andrew
3年前
官方采纳

一、检查系统账户

1、查看是否有弱口令,远程管理端口是否开放公网。
2、查看服务器是否存在可疑账户,新增账户。
3、查看服务器是否有隐藏账户。
4、查看日志,查看登陆时间、用户名。

二、检查异常端口、进程

1、检查端口连接情况,是否有远程连接,可疑连接。
2、查看是否有异常用户。

三、检查启动项、计划任务、服务

1、检查服务器是否有异常的启动项
2、检查计划任务
3、服务自启动

四、检查系统相关信息

1、查看系统版本以及补丁信息
2、查找可疑目录及文件

五、下载软件自动化查杀

1、病毒查杀
检查方法:下载安全软件,更新病毒库,进行全盘扫描。
2、webshell查杀

六、日志分析

1、系统日志
2、web访问日志