筆者對常見的托管租用使用Windows Server系統(tǒng)的服務(wù)器及VPS主機(jī)是否存在惡意入侵、如何排查惡意入侵做一個簡單的描述及提供簡單相應(yīng)的解決辦法。
第一步、檢查系統(tǒng)組及用戶
我的電腦——右鍵管理——本地用戶和組——組
檢查administrators組內(nèi)是否存在除開管理員用戶賬號(默認(rèn)為administrator)以外的其他用戶賬號。
檢查users組內(nèi)是否存在非系統(tǒng)默認(rèn)賬號或管理員指定賬號。
本地用戶和組——用戶
檢查是否存在未做注釋或名稱異常的用戶。
一般由于軟件后本被入侵的服務(wù)器都會在administrators組內(nèi)添加一個admin$或相類似的用戶,一旦發(fā)現(xiàn)該類用戶就應(yīng)該首先避免運(yùn)行任何程序,停止所有服務(wù)并及時使用殺毒軟件對服務(wù)器關(guān)鍵區(qū)域(啟動駐存、C盤系統(tǒng)文件夾用戶自定義文件夾)進(jìn)行完整掃描,避免木馬的二次交叉感染。
第二步、檢查管理員賬戶是否存在異常的登陸和注銷記錄
我的電腦——右鍵管理——事件查看器——安全性
篩選所有事件ID為576和528的事件(576為系統(tǒng)登陸日志528為系統(tǒng)注銷日志)查看具體事件信息內(nèi)容。內(nèi)容內(nèi)會存在一個登陸IP。檢查該IP是否為管理員常用登陸的IP。
第三步、檢查服務(wù)器是否存在異常的登陸啟動項(xiàng)
開始菜單——所有程序——啟動
該目錄在默認(rèn)情況下應(yīng)該是一個空目錄,但是如果出現(xiàn)一個異常的.bat程序的話就應(yīng)該全盤掃描服務(wù)器以確認(rèn)服務(wù)器安全性。
開始菜單——運(yùn)行
msconfig
啟動菜單欄中是否存在命名異常的啟動項(xiàng)目,例如A.EXE XXXXI1SU2.EXE等,一旦發(fā)現(xiàn)全盤掃描服務(wù)器以確認(rèn)服務(wù)器安全性。
開始菜單——運(yùn)行
regedit
hkey_current_user—software—micorsoft—windows—currentversion-run
hkey_current_machine—software—micorsoft—windows—currentversion-run
檢查以上2個項(xiàng)目下是否存在異常。
一般情況下如果以上3個步驟檢查不存在異常的話基本就可以判定服務(wù)器的安全環(huán)境是無故障的。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:如何快速判斷服務(wù)器是否被惡意入侵
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112159161.html