笔者对常见的托管租用使用Windows Server系统的服务器及VPS主机是否存在恶意入侵、如何排查恶意入侵做一个简单的描述及提供简单相应的解决办法。

    第一步、检查系统组及用户

    我的电脑——右键管理——本地用户和组——组

    检查administrators组内是否存在除开管理员用户账号（默认为administrator）以外的其他用户账号。

    检查users组内是否存在非系统默认账号或管理员指定账号。

    本地用户和组——用户

    检查是否存在未做注释或名称异常的用户。

    一般由于软件后本被入侵的服务器都会在administrators组内添加一个admin$或相类似的用户，一旦发现该类用户就应该首先避免运行任何程序，停止所有服务并及时使用杀毒软件对服务器关键区域（启动驻存、C盘系统文件夹用户自定义文件夹）进行完整扫描，避免木马的二次交叉感染。

    第二步、检查管理员账户是否存在异常的登陆和注销记录

    我的电脑——右键管理——事件查看器——安全性

    筛选所有事件ID为576和528的事件（576为系统登陆日志528为系统注销日志）查看具体事件信息内容。内容内会存在一个登陆IP。检查该IP是否为管理员常用登陆的IP。

    第三步、检查服务器是否存在异常的登陆启动项

    开始菜单——所有程序——启动

    该目录在默认情况下应该是一个空目录，但是如果出现一个异常的。bat程序的话就应该全盘扫描服务器以确认服务器安全性。

    开始菜单——运行

    msconfig

    启动菜单栏中是否存在命名异常的启动项目，例如A.EXE XXXXI1SU2.EXE等，一旦发现全盘扫描服务器以确认服务器安全性。

    开始菜单——运行

    regedit

    hkey_current_user—software—micorsoft—windows—currentversion-run

    hkey_current_machine—software—micorsoft—windows—currentversion-run

    检查以上2个项目下是否存在异常。

    一般情况下如果以上3个步骤检查不存在异常的话基本就可以判定服务器的安全环境是无故障的。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。