如何快速判断服务器是否被恶意入侵

js54520062

中国国内IDC蓬勃发展的同时，并行衍生了很多对IDC行业知识及关键性技术常识缺乏的IDC从业者和IDC

消费者，这类人群的防范意识疏忽，或对于IDC产品的安全防护操作不到位，天信网络数据中心（简称天

信网络）就会导致自己的产品被入侵盗用。而国内网络很大一部分的垃圾流量（恶意CC攻击、ddos攻击

、垃圾邮件、垃圾弹窗广告等）也都是以这类被盗用入侵的IDC产品为土壤而滋生的。

由此可见，对于自身的IDC产品做好安全防护及快速的故障排查是一个相当有必要的事情。不仅能提高自

身产品的附加价值。提高产品的利用率。提升品牌形象，更能给客户一个良好的服务面貌。

在此，笔者对常见的托管租用使用windows server 系统的服务器及VPS主机是否存在恶意入侵、如何排

查恶意入侵做一个简单的描述及提供简单相应的解决办法。

第一步、检查系统组及用户
我的电脑——右键管理——本地用户和组——组
检查administrators组内是否存在除开管理员用户账号（默认为administrator）以外的其他用户账号
检查users组内是否存在非系统默认账号或管理员指定账号

本地用户和组——用户
检查是否存在未做注释或名称异常的用户

一般由于软件后本被入侵的服务器都会在administrators组内添加一个admin$或相类似的用户，一旦发

现该类用户就应该首先避免运行任何程序，停止所有服务并及时使用杀毒软件对服务器关键区域（启动

驻存、C盘 系统文件夹 用户自定义文件夹）进行完整扫描，避免木马的二次交叉感染。

第二步，检查管理员账户是否存在异常的登陆和注销记录
我的电脑——右键管理——事件查看器——安全性
筛选所有事件ID为576和528的事件（576为系统登陆日志 528为系统注销日志） 查看具体事件信息内容

。内容内会存在一个登陆IP。检查该IP是否为管理员常用登陆的IP(ip138 你懂的)

第三步、检查服务器是否存在异常的登陆启动项
开始菜单——所有程序——启动
该目录在默认情况下应该是一个空目录，但是如果出现一个异常的.bat程序的话就应该全盘扫描服务器

以确认服务器安全性
开始菜单——运行
msconfig
启动菜单栏中是否存在命名异常的启动项目，例如A.EXE  XXXXI1SU2.EXE等，一旦发现全盘扫描服务器

以确认服务器安全性
开始菜单——运行
regedit
hkey_current_user—software—micorsoft—windows—currentversion-run
hkey_current_machine—software—micorsoft—windows—currentversion-run
检查以上2个项目下是否存在异常


一般情况下如果以上3个步骤检查不存在异常的话基本就可以判定服务器的安全环境是无故障的

天信网络数据中心友情提示
如果发现服务器异常应该第一时间及时处理并备份数据以保证数据安全。