Windows 系统服务器被入侵怎么排查

作为服务器管理人员,如何检查自己服务器的安全,发现服务器被入侵,做相关的补救措施。


发现错别字 2周前 提问
回答
1
浏览
42
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
等保中级测评师 CICSA WASPCSSP CISP-Auditor
最佳答案

一、检查系统账户

1、查看是否有弱口令,远程管理端口是否开放公网。
2、查看服务器是否存在可疑账户,新增账户。
3、查看服务器是否有隐藏账户。
4、查看日志,查看登陆时间、用户名。

二、检查异常端口、进程

1、检查端口连接情况,是否有远程连接,可疑连接。
2、查看是否有异常用户。

三、检查启动项、计划任务、服务

1、检查服务器是否有异常的启动项
2、检查计划任务
3、服务自启动

四、检查系统相关信息

1、查看系统版本以及补丁信息
2、查找可疑目录及文件

五、下载软件自动化查杀

1、病毒查杀
检查方法:下载安全软件,更新病毒库,进行全盘扫描。
2、webshell查杀

六、日志分析

1、系统日志
2、web访问日志

1周前 / 评论
回答数量: 1