首页>>帮助中心>>Windows系统的香港vps服务器如何排查是否被黑被入侵

Windows系统的香港vps服务器如何排查是否被黑被入侵

2024/3/2 381次
Windows系统的香港云服务器如何排查是否被黑被入侵

一、查看是否有隐藏用户或者异常用户:
1.鼠标右击计算机----管理:

2.配置-----本地用户和组----用户,如果用户或用户组带有$符号,说明该用户或用户组被隐藏,或者是多了不是你使用创建的用户,这很大可能是被黑了,如下图:




二、查看是否有异常的进程
1.右键远程桌面底下空白处-----启动任务管理器:

2.进程,查看是否存在异常的进程,例如:phpstudy被黑后可能存在12345.exe这类型以数字开头的进程,或者一些.tmp的临时文件以管理员身份运行,如下图:



三、查看服务器内是否有异常的的脚本或可执行文件:
1.可以先查看常见的几个目录:C:\Windows、C:\Windows\System32,是否有异常的的脚本或可执行文件,如下图:



四、查看是否有异常的进程占用CPU
1.看异常占用CPU的进程是否是试用了SYSTEM/Administrator权限的用户:



五、查看系统日志,查看是否有异常IP登录
查看日志参考这个教程: https://www.enuoidc.com/help/1050.html

注:windows进程PID值0-999为系统进程,进程名称看起来是系统的,但是pid很高,这一类型的进程就有可能是伪造的,需要去核实是否是系统进程。