如何快速判斷服務器是否被惡意入侵

筆者對常見的托管租用使用Windows Server系統(tǒng)的服務器及VPS主機是否存在惡意入侵、如何排查惡意入侵做一個簡單的描述及提供簡單相應的解決辦法。

第一步、檢查系統(tǒng)組及用戶

我的電腦-右鍵管理-本地用戶和組-組

檢查administrators組內(nèi)是否存在除開管理員用戶賬號（默認為administrator）以外的其他用戶賬號。

檢查users組內(nèi)是否存在非系統(tǒng)默認賬號或管理員指定賬號。

本地用戶和組-用戶

檢查是否存在未做注釋或名稱異常的用戶。

一般由于軟件后本被入侵的服務器都會在administrators組內(nèi)添加一個admin$或相類似的用戶，一旦發(fā)現(xiàn)該類用戶就應該首先避免運行任何程序，停止所有服務并及時使用殺毒軟件對服務器關(guān)鍵區(qū)域（啟動駐存、C盤系統(tǒng)文件夾用戶自定義文件夾）進行完整掃描，避免木馬的二次交叉感染。

第二步、檢查管理員賬戶是否存在異常的登陸和注銷記錄

我的電腦-右鍵管理-事件查看器-安全性

篩選所有事件ID為576和528的事件（576為系統(tǒng)登陸日志528為系統(tǒng)注銷日志）查看具體事件信息內(nèi)容。內(nèi)容內(nèi)會存在一個登陸IP。檢查該IP是否為管理員常用登陸的IP。

第三步、檢查服務器是否存在異常的登陸啟動項

開始菜單-所有程序-啟動

該目錄在默認情況下應該是一個空目錄，但是如果出現(xiàn)一個異常的.bat程序的話就應該全盤掃描服務器以確認服務器安全性。

開始菜單-運行

msconfig

啟動菜單欄中是否存在命名異常的啟動項目，例如A.EXE XXXXI1SU2.EXE等，一旦發(fā)現(xiàn)全盤掃描服務器以確認服務器安全性。

開始菜單——運行

regedit

hkey_current_user—software—micorsoft—windows—currentversion-run

hkey_current_machine—software—micorsoft—windows—currentversion-run

檢查以上2個項目下是否存在異常。

一般情況下如果以上3個步驟檢查不存在異常的話基本就可以判定服務器的安全環(huán)境是無故障的。