云主机云服务器
首页>>帮助中心>>Windows系统的香港vps服务器如何排查是否被黑被入侵
Windows系统的香港vps服务器如何排查是否被黑被入侵
2024/3/2 423次Windows系统的香港云服务器如何排查是否被黑被入侵
一、查看是否有隐藏用户或者异常用户:
1.鼠标右击计算机----管理:
2.配置-----本地用户和组----用户,如果用户或用户组带有$符号,说明该用户或用户组被隐藏,或者是多了不是你使用创建的用户,这很大可能是被黑了,如下图:
二、查看是否有异常的进程
1.右键远程桌面底下空白处-----启动任务管理器:
2.进程,查看是否存在异常的进程,例如:phpstudy被黑后可能存在12345.exe这类型以数字开头的进程,或者一些.tmp的临时文件以管理员身份运行,如下图:
三、查看服务器内是否有异常的的脚本或可执行文件:
1.可以先查看常见的几个目录:C:\Windows、C:\Windows\System32,是否有异常的的脚本或可执行文件,如下图:
四、查看是否有异常的进程占用CPU
1.看异常占用CPU的进程是否是试用了SYSTEM/Administrator权限的用户:
一、查看是否有隐藏用户或者异常用户:
1.鼠标右击计算机----管理:
2.配置-----本地用户和组----用户,如果用户或用户组带有$符号,说明该用户或用户组被隐藏,或者是多了不是你使用创建的用户,这很大可能是被黑了,如下图:
二、查看是否有异常的进程
1.右键远程桌面底下空白处-----启动任务管理器:
2.进程,查看是否存在异常的进程,例如:phpstudy被黑后可能存在12345.exe这类型以数字开头的进程,或者一些.tmp的临时文件以管理员身份运行,如下图:
三、查看服务器内是否有异常的的脚本或可执行文件:
1.可以先查看常见的几个目录:C:\Windows、C:\Windows\System32,是否有异常的的脚本或可执行文件,如下图:
四、查看是否有异常的进程占用CPU
1.看异常占用CPU的进程是否是试用了SYSTEM/Administrator权限的用户:
五、查看系统日志,查看是否有异常IP登录
查看日志参考这个教程: https://www.enuoidc.com/help/1050.html
注:windows进程PID值0-999为系统进程,进程名称看起来是系统的,但是pid很高,这一类型的进程就有可能是伪造的,需要去核实是否是系统进程。
最新发布
版权声明
- 声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们996811936@qq.com进行处理。
