服务器被入侵是很多站长或者游戏GM经常会听到,也有可能是已经有遇到过的问题。系统被入侵后,通常会导致系统资源占用过高、异常端口和进程、可疑的账号或文件等,给业务系统带来不稳定等诸多问题。
一般情况下,用于入侵的木马病毒会随着计算机启动而启动并获取一定的控制权,启动方式多种多样,比如注册表、服务、计划任务等。这些都是平时需要重点排查的地方。服务器的日志也需要重点关注。在服务器的使用过程中,要如何判断系统是否有被入侵了,要如何查看。
过系统账号排查
1.查看服务器是否存在可疑账号或新增账号。打开cmd窗口,输入lusrmgr.msc命令,查看是否有新增或可疑账号,如果管理员群组的(Administrators)里有新增账户,需要立即删除
2.查看服务器是否存在隐藏账号。在cmd中使用net use,看不到test$这个账号,但在控制面板和本地用户是可以显示此用户的。
3.查收Windows系统日志,按Win+R,输入eventvwr.msc,打开事件查看器查看管理员登录时间、用户名、账号登录情况,比如成功或失败的次数,是否存在异常。
通过端口连接排查
1.检查端口连接情况。通过netstat -ano 查看目前的网络连接,重点是查ESTABLISHED可疑端口。然后再通过tasklist命令进行进程定位tasklist | findstr “PID”
2.检查可疑的网络连接。检查是否存在可疑的网络连接,如发现异常,可使用Wireshark网络抓包辅助分析。
通过系统进程进行排查
检查是否存在可疑的进程。Win+R输入msinfo32,点击软件环境中的正在运行任务就可以查看到进程的详细信息,比如进程路径、文件日期、启动时间等。
通过系统内的可疑文件排查
检查新建文件、最近访问文件和相关下载目录
1.查看用户目录,是否有新建用户目录。
2.Win+R,输入%UserProfile%\Recent,分析最近打开是否有可疑文件。
3.查找可疑文件服务器各个目录。
4.回收站、浏览器下载目录、浏览器历史记录等。
5.查看文件的修改时间或创建时间。