服务器被入侵了怎么办?

<返回列表

如果服务器被入侵肯定会留下痕迹,那么我们首先应该检查下发生异常的时间、发生异常的现象是什么?根据相应的情况来检查下具体事件。

一、检查系统账号安全

1、查看服务器是否有弱口令,远程管理端口是否对公网开放。

2、查看服务器是否存在可疑账号、新增账号。

打开 cmd 窗口,输入lusrmgr.msc命令,查看是否有新增/可疑的账号。

3、查看服务器是否存在隐藏账号、克隆账号

在cmd中输入:net user 看看有没有陌生用户

在cmd中输入:regedit 找到注册表分支“HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names/”看看有没有克隆用户

二、检查网络

在cmd命令行中输入 netstat -ano 查看目前的网络连接,定位可疑的pid。

根据定位出的pid,再通过tasklist命令进行进程定位 tasklist | findstr “PID”

发现的感觉异常的 IP 地址可以在威胁情报平台上查询,如果是已知的恶意 IP,可以比较快速的确认攻击方式。

三、检查日志、启动项、计划任务

1、结合日志,查看管理员登录时间、用户名是否存在异常。

首先Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。系统日志包含Windows系统组件记录的事件。应用程序日志包含由应用程序或程序记录的事件。安全日志包含诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,如创建、打开或删除文件或其他对象。

常用事件 ID 以及他代表的事件含义如下:

登录类型ID

查看远程登陆事件

远程连接日志(应用程序和服务日志->Microsoft->Windows->-TerminalServices->RemoteConnectionManager->Operational)

重要事件以及ID含义:

2、查看启动项

(1)按下win+r键打开运行,输入 shell:startup 打开开机启动项文件夹,检查是否有可疑自启动文件。

(2)按下win+r键打开运行,输入msconfig 查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。

(3)按下win+r键打开运行,输入regedit 打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项:

HKEY_CURRENT_USERsoftwaremicorsoftwindowscurrentversion un

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce

3、查看计划任务

按下win+r键打开运行,输入taskschd.msc 打开任务计划,查看有没有可疑的计划任务。

国内免备案VPS301跳转服务器国内免备案服务器域名被墙跳转301,绕过信息安全中心不能放违反法律法规内容!(北京免备案  镇江免备案 江苏免备案 辽宁免备案vps 山东联通免备案) 
分享新闻到:

更多帮助

服务器被入侵了怎么办?

新闻中心 2023-08-10
如果服务器被入侵肯定会留下痕迹,那么我们首先应该检查下发生异常的时间、发生异常的现...
查看全文

记一次阿里云被植入挖矿木马事件

新闻中心 2023-08-10
起因 今天,同事说我负责的模块在阿里云上不工作了,我赶忙远程登录查看。 服务器的症状...
查看全文

从设备看风险,医疗已成为网络安全的关

新闻中心 2023-08-10
随着互联网技术的发展,IT、物联网和OT等技术融入到了传统行业中,尤其医疗行业数字化极大...
查看全文