Windows服務器快速排查系統是否被(bèi)黑被(bèi)入侵

1.存在隐藏用戶或異常用戶

以Windows爲例，右鍵計算機 -> 管理 -> 查看本地用戶和組，如果用戶或用戶組帶有$符号，說明該用戶/用戶組被(bèi)隐藏，很有可能(néng)被(bèi)黑了。如下截圖

2.異常進(jìn)程

通過(guò)任務管理器查看是否存在異常進(jìn)程，比如phpstudy被(bèi)黑後(hòu)可能(néng)存在12345.exe這(zhè)類數字開(kāi)頭的進(jìn)程。或者一些temp臨時文件以管理員身份運行

如果用戶安裝了phpstudy查看有某些數字進(jìn)程

3.異常腳本或可執行文件

可以檢查Windows常見的幾個系統目錄，比如C:\Windows、C:\Windows\System32，大量異常腳本，或可執行文件。

4.異常進(jìn)程占用CPU

注意進(jìn)程描述，運行用戶是否使用了system/administrator權限較高的用戶。

Windows安全建議

1. 修改默認遠程連接端口。
2. 不使用弱密碼。
3. 不安裝來曆不明的軟件（比如xx破解版、xx綠色版）。
4. 安裝必要的殺毒軟件。
5. 普通賬戶運行mysql、mssql；盡量避免system或管理員運行。
6. 盡量關閉數據庫遠程。
7. 通過(guò)官方update及時更新系統補丁。

安全總結

1. 查看Windows用戶和組是否異常。
2. 任務管理器查看是否有占用較高的進(jìn)程、異常進(jìn)程。
3. 查看常見的目錄如C:\Windows是否有異常腳本或可執行文件。
4. 檢查事(shì)件查看器是否有異常用戶/異常IP登錄。
5. windows進(jìn)程中PID值0-999爲系統進(jìn)程。