Windows系统服务器被黑检查及被黑后处理流程(windwos系统如何检查是否被黑)
1、检查系统的账户
进入系统后右键计算机 -> 管理 -> 查看本地用户和组,
(1)先在用户选项中禁用所有的异常账号
(2)然后到组中,从administrators组以及users组中,删除所有的非administraor的用户
2、检查异常服务
运行中输入msconfig回车
(1)检查启动项
将所有的异常启动项禁用(不勾选)
根据命令的位置找到病毒文件,执行脚本等。如果执行的启动项是批处理文件可以打开查看下,看一下他在系统中添加了什么东西,根据代码在注册表中删除对应的项,根据代码内容判断下是否注册表被篡改。最后再删除异常文件。
(2)检查所有非微软的服务
在msconfig中,切换到服务选择卡,勾选“隐藏所有microsoft服务”,然后将显示出来的服务进行一下过滤。
如有异常服务,根据服务名称,打开services.msc,找到对应服务,先停止掉。
然后根据服务中exe程序路径,到对应路径下删除木马病毒文件。
最后进入cmd输入sc delete 服务名,删除病毒服务。
有多个异常服务的就重复上面的操作步骤。
3、检查计划任务
开始菜单——管理工具——计划任务,点开Microsoft查看下有无异常的计划任务,如果有先不要删除,先查一下计划任务中执行的脚本,程序等根据路径去磁盘中删除源文件,然后再删除,删除病毒文件最后再删除计划任务
4、检查异常文件
先打开文件夹管理中的隐藏文件显示。然后检查C盘及windows目录下的可疑文件,可按照时间排序,根据经验筛查一下,按照时间排序后注意查看近期有修改的exe,bat,msi等文件。
需要重点排查的目录有
C:\Windows
C:\$Recycle.Bin
C:\Windows\System32
C:\Users\Administrator (以及其他账户目录)
如果发现有文件存在运行,但是路径下找不到,可能是被隐藏了
5、检查系统的应用
打开服务器任务管理器,
(1)先按照cpu排序,查看下经过上述处理后还有无占用cpu极高的进程,找到路径结束掉,并且删除对应的exe等执行程序。
(2)再按照进程名称排序,查看下有无异常进程,比如svchost.exe 有无名称类似(比如svchsot.exe)的或者64位系统下有svchost.exe*32 这样的进程。
(3)按照用户名排序,查看下Administrator及其他普通用户的执行进程
6、检查sqlserver作业
部分黑客可能在sqlserver中建立作业,如果服务器安装了sqlserver,登录mssql管理器,查看sqlserver代理——作业中有无被添加异常的作业,查看下作业中执行的操作,根据操作内容在服务器内删除相应的异常文件,最后一部删除作业,
7、安装杀毒软件
安装云锁全盘扫描,避免手工检测中没有检查到的问题,对高危网站进行目录权限设置,取消上传目录执行脚本权限。
8、重装系统
如果中毒非常严重,导致资源管理器无法加载,或者系统核心文件损坏,只能重装系统,重装后对D盘进行一次杀毒检查。
- 发表于 2020-11-27 15:32
- 阅读 ( 2719 )
- 分类:服务器
