Windows 被入侵的排查思路

1.检查账号安全

调取账号口令列表,检查弱口令账户
检查高权限组中是否存在越权账户

2.查看最近的系统登录情况

将事件查看器中的安全日志导出

3.检查端口与进程

用netstat命令查看网络端口信息

4.用第三方软件辅助排查

使用d盾，排查

5.检查系统启动项

打开本地组策略，域环境需要DC上的组策略

6.检查任务计划

查看所有任务计划

7.检查服务启动类型

在服务管理中查看启动类型

1，检查可疑文件 使用软件对注册表进行排查 2，自动查杀 下载软件查杀 查毒杀毒:卡巴斯基，360杀毒，瑞星等 webshel查杀:D盾_ Web查杀,河马webshell查杀,深信服WebshelI网站后门检测工具等 在线检测平台微步在线