Loading
0

Windows系统服务器被黑检查及被黑后处理流程(windwos系统如何检查是否被黑)

1、检查系统的账户

进入系统后右键计算机 -> 管理 -> 查看本地用户和组,

(1)先在用户选项中禁用所有的异常账号

(2)然后到组中,从administrators组以及users组中,删除所有的非administraor的用户

2、检查异常服务

运行中输入msconfig回车

(1)检查启动项

将所有的异常启动项禁用(不勾选)

image.png

根据命令的位置找到病毒文件,执行脚本等。如果执行的启动项是批处理文件可以打开查看下,看一下他在系统中添加了什么东西,根据代码在注册表中删除对应的项,根据代码内容判断下是否注册表被篡改。最后再删除异常文件。

(2)检查所有非微软的服务

在msconfig中,切换到服务选择卡,勾选“隐藏所有microsoft服务”,然后将显示出来的服务进行一下过滤。

image.png

如有异常服务,根据服务名称,打开services.msc,找到对应服务,先停止掉。

然后根据服务中exe程序路径,到对应路径下删除木马病毒文件。

最后进入cmd输入sc delete 服务名,删除病毒服务。

有多个异常服务的就重复上面的操作步骤。

3、检查计划任务

开始菜单——管理工具——计划任务,点开Microsoft查看下有无异常的计划任务,如果有先不要删除,先查一下计划任务中执行的脚本,程序等根据路径去磁盘中删除源文件,然后再删除,删除病毒文件最后再删除计划任务

4、检查异常文件

先打开文件夹管理中的隐藏文件显示。然后检查C盘及windows目录下的可疑文件,可按照时间排序,根据经验筛查一下,按照时间排序后注意查看近期有修改的exe,bat,msi等文件。

需要重点排查的目录有

C:\Windows

C:\$Recycle.Bin

C:\Windows\System32

C:\Users\Administrator (以及其他账户目录)

如果发现有文件存在运行,但是路径下找不到,可能是被隐藏了

 

5、检查系统的应用

打开服务器任务管理器,

(1)先按照cpu排序,查看下经过上述处理后还有无占用cpu极高的进程,找到路径结束掉,并且删除对应的exe等执行程序。

(2)再按照进程名称排序,查看下有无异常进程,比如svchost.exe 有无名称类似(比如svchsot.exe)的或者64位系统下有svchost.exe*32 这样的进程。

(3)按照用户名排序,查看下Administrator及其他普通用户的执行进程

image.png

6、检查sqlserver作业

部分黑客可能在sqlserver中建立作业,如果服务器安装了sqlserver,登录mssql管理器,查看sqlserver代理——作业中有无被添加异常的作业,查看下作业中执行的操作,根据操作内容在服务器内删除相应的异常文件,最后一部删除作业,

7、安装杀毒软件

安装云锁全盘扫描,避免手工检测中没有检查到的问题,对高危网站进行目录权限设置,取消上传目录执行脚本权限。

8、重装系统

如果中毒非常严重,导致资源管理器无法加载,或者系统核心文件损坏,只能重装系统,重装后对D盘进行一次杀毒检查。

声明:站长码字很辛苦啊,转载时请保留本声明及附带文章链接:http://blog.tag.gg/showinfo-2-35839-0.html
上一篇:后端Web基于IIS7/IIS8/IIS10搭建负载均衡的详细方法及步骤
下一篇:返回列表