笔者对常见的托管租用使用Windows Server系统的服务器及VPS主机是否存在恶意入侵、如何排查恶意入侵做一个简单的描述及提供简单相应的解决办法。
第一步、检查系统组及用户
我的电脑——右键管理——本地用户和组——组
检查administrators组内是否存在除开管理员用户账号(默认为administrator)以外的其他用户账号。
检查users组内是否存在非系统默认账号或管理员指定账号。
本地用户和组——用户
检查是否存在未做注释或名称异常的用户。
一般由于软件后本被入侵的服务器都会在administrators组内添加一个admin$或相类似的用户,一旦发现该类用户就应该首先避免运行任何程序,停止所有服务并及时使用杀毒软件对服务器关键区域(启动驻存、C盘系统文件夹用户自定义文件夹)进行完整扫描,避免木马的二次交叉感染。
第二步、检查管理员账户是否存在异常的登陆和注销记录
我的电脑——右键管理——事件查看器——安全性
筛选所有事件ID为576和528的事件(576为系统登陆日志528为系统注销日志)查看具体事件信息内容。内容内会存在一个登陆IP。检查该IP是否为管理员常用登陆的IP。
第三步、检查服务器是否存在异常的登陆启动项
开始菜单——所有程序——启动
该目录在默认情况下应该是一个空目录,但是如果出现一个异常的.bat程序的话就应该全盘扫描服务器以确认服务器安全性。
开始菜单——运行
msconfig
启动菜单栏中是否存在命名异常的启动项目,例如A.EXE XXXXI1SU2.EXE等,一旦发现全盘扫描服务器以确认服务器安全性。
开始菜单——运行
regedit
hkey_current_user—software—micorsoft—windows—currentversion-run
hkey_current_machine—software—micorsoft—windows—currentversion-run
检查以上2个项目下是否存在异常。
一般情况下如果以上3个步骤检查不存在异常的话基本就可以判定服务器的安全环境是无故障的。