导读:操作步骤/方法1笔者对常见的托管租用使用WindowsServer系统的服务器及VPS主机是否存在恶意入侵如何排查恶意入侵做一个简单的描述及提供简单相应的解决办法。2第一步检查系统组及用户3我的电脑——右键管理——本地用户和组——组4检查administrators组内是否存在除开管理员用户账号(默认为administrator)以外的其他用户账号。5检查users组内是否存在非系统默认账号或管理...
操作步骤/方法
1
笔者对常见的托管租用使用WindowsServer系统的服务器及VPS主机是否存在恶意入侵如何排查恶意入侵做一个简单的描述及提供简单相应的解决办法。
2
第一步检查系统组及用户
3
我的电脑——右键管理——本地用户和组——组
4
检查administrators组内是否存在除开管理员用户账号(默认为administrator)以外的其他用户账号。
5
检查users组内是否存在非系统默认账号或管理员指定账号。
6
本地用户和组——用户
7
检查是否存在未做注释或名称异常的用户。
8
一般由于软件后本被入侵的服务器都会在administrators组内添加一个admin$或相类似的用户,一旦发现该类用户就应该首先避免运行任何程序,停止所有服务并及时使用杀毒软件对服务器关键区域(启动驻存C盘系统文件夹用户自定义文件夹)进行完整扫描,避免木马的二次交叉感染。
9
第二步检查管理员账户是否存在异常的登陆和注销记录
10
我的电脑——右键管理——事件查看器——安全性
11
筛选所有事件ID为576和528的事件(576为系统登陆日志528为系统注销日志)查看具体事件信息内容。内容内会存在一个登陆IP。检查该IP是否为管理员常用登陆的IP。
12
第三步检查服务器是否存在异常的登陆启动项
13
开始菜单——所有程序——启动
14
该目录在默认情况下应该是一个空目录,但是如果出现一个异常的.bat程序的话就应该全盘扫描服务器以确认服务器安全性。
15
开始菜单——运行
16
msconfig
17
启动菜单栏中是否存在命名异常的启动项目,例如A.EXEXXXXI1SU
18
EXE等,一旦发现全盘扫描服务器以确认服务器安全性。
19
开始菜单——运行
20
regedit
21
hkey_current_user—software—micorsoft—windows—currentversion-run
22
hkey_current_machine—software—micorsoft—windows—currentversion-run
23
检查以上2个项目下是否存在异常。
24
一般情况下如果以上3个步骤检查不存在异常的话基本就可以判定服务器的安全环境是无故障的。
END
以上就是小编为大家介绍的如何知道服务器ip被入侵的全部内容,如果大家还对相关的内容感兴趣,请持续关注上海建站网!
标签:
内容声明:网站所展示的内容均由第三方用户投稿提供,内容的真实性、准确性和合法性均由发布用户负责。上海建站网对此不承担任何相关连带责任。上海建站网遵循相关法律法规严格审核相关关内容,如您发现页面有任何违法或侵权信息,欢迎向网站举报并提供有效线索,我们将认真核查、及时处理。感谢您的参与和支持!
