如何判断服务器是否被入侵了

服务器被入侵是很多站长或者游戏GM经常会听到,也有可能是已经有遇到过的问题。系统被入侵后,通常会导致系统资源占用过高、异常端口和进程、可疑的账号或文件等,给业务系统带来不稳定等诸多问题。

一般情况下,用于入侵的木马病毒会随着计算机启动而启动并获取一定的控制权,启动方式多种多样,比如注册表、服务、计划任务等。这些都是平时需要重点排查的地方。服务器的日志也需要重点关注。在服务器的使用过程中,要如何判断系统是否有被入侵了,要如何查看。

过系统账号排查

1.查看服务器是否存在可疑账号或新增账号。打开cmd窗口,输入lusrmgr.msc命令,查看是否有新增或可疑账号,如果管理员群组的(Administrators)里有新增账户,需要立即删除

2.查看服务器是否存在隐藏账号。在cmd中使用net use,看不到test$这个账号,但在控制面板和本地用户是可以显示此用户的。

3.查收Windows系统日志,按Win+R,输入eventvwr.msc,打开事件查看器查看管理员登录时间、用户名、账号登录情况,比如成功或失败的次数,是否存在异常。

通过端口连接排查

1.检查端口连接情况。通过netstat -ano 查看目前的网络连接,重点是查ESTABLISHED可疑端口。然后再通过tasklist命令进行进程定位tasklist | findstr "PID"

2.检查可疑的网络连接。检查是否存在可疑的网络连接,如发现异常,可使用Wireshark网络抓包辅助分析。

通过系统进程进行排查

检查是否存在可疑的进程。Win+R输入msinfo32,点击软件环境中的正在运行任务就可以查看到进程的详细信息,比如进程路径、文件日期、启动时间等。

通过系统内的可疑文件排查

检查新建文件、最近访问文件和相关下载目录

1.查看用户目录,是否有新建用户目录。

2.Win+R,输入%UserProfile%\Recent,分析最近打开是否有可疑文件。

3.查找可疑文件服务器各个目录。

4.回收站、浏览器下载目录、浏览器历史记录等。

5.查看文件的修改时间或创建时间。

相关推荐
SkyWalking中文站9 小时前
认识 Horizon UI · 6/17:Trace 探索器
运维·监控·自动化运维
程序员老赵12 小时前
服务器文件不想 SFTP 上传?Docker 跑个 File Browser,浏览器就能管理
服务器·docker·开源
火车叼位12 小时前
写给初级开发者:SSL、SSH、HTTPS 与证书体系全解析
运维
vivo互联网技术17 小时前
从 10 分钟到 1 秒:ES 深度分页任意跳页的三轮优化实战
服务器·数据库·redis·elasticsearch·深度分页
小猿姐1 天前
唯品会大规模数据库云原生实践:基于 KubeBlocks 管理数千实例的统一运维之路
运维·elasticsearch·云原生
SkyWalking中文站2 天前
认识 Horizon UI · 5/17:3D 基础设施地图
运维·监控·自动化运维
SkyWalking中文站2 天前
认识 Horizon UI · 1/17:SkyWalking 新一代可观测性控制台
运维·前端·监控
雪梨酱QAQ3 天前
Kubeneters HA Cluster部署
运维
江华森3 天前
Spring Cloud 微服务全栈实战:从 Eureka 到 Docker Compose 一文贯通
运维