Windows系统服务器被黑检查及被黑后处理流程(windwos系统如何检查是否被黑)

1、检查系统的账户 进入系统后右键计算机 -> 管理 -> 查看本地用户和组, (1)先在用户选项中禁用所有的异常账号 (2)然后到组中,从administrators组以及users组中,删除所有的非ad...

1、检查系统的账户

进入系统后右键计算机 -> 管理 -> 查看本地用户和组,

(1)先在用户选项中禁用所有的异常账号

(2)然后到组中,从administrators组以及users组中,删除所有的非administraor的用户

2、检查异常服务

运行中输入msconfig回车

(1)检查启动项

将所有的异常启动项禁用(不勾选)
attachments-2020-11-WMXHgf7k5fc0ab25931fc.png

根据命令的位置找到病毒文件,执行脚本等。如果执行的启动项是批处理文件可以打开查看下,看一下他在系统中添加了什么东西,根据代码在注册表中删除对应的项,根据代码内容判断下是否注册表被篡改。最后再删除异常文件。

(2)检查所有非微软的服务

在msconfig中,切换到服务选择卡,勾选“隐藏所有microsoft服务”,然后将显示出来的服务进行一下过滤。
attachments-2020-11-D9bVPoYm5fc0ab47d7f0c.png

如有异常服务,根据服务名称,打开services.msc,找到对应服务,先停止掉。

然后根据服务中exe程序路径,到对应路径下删除木马病毒文件。

最后进入cmd输入sc delete 服务名,删除病毒服务。

有多个异常服务的就重复上面的操作步骤。

3、检查计划任务

开始菜单——管理工具——计划任务,点开Microsoft查看下有无异常的计划任务,如果有先不要删除,先查一下计划任务中执行的脚本,程序等根据路径去磁盘中删除源文件,然后再删除,删除病毒文件最后再删除计划任务

4、检查异常文件

先打开文件夹管理中的隐藏文件显示。然后检查C盘及windows目录下的可疑文件,可按照时间排序,根据经验筛查一下,按照时间排序后注意查看近期有修改的exe,bat,msi等文件。

需要重点排查的目录有

C:\Windows

C:\$Recycle.Bin

C:\Windows\System32

C:\Users\Administrator (以及其他账户目录)

如果发现有文件存在运行,但是路径下找不到,可能是被隐藏了

 

5、检查系统的应用

打开服务器任务管理器,

(1)先按照cpu排序,查看下经过上述处理后还有无占用cpu极高的进程,找到路径结束掉,并且删除对应的exe等执行程序。

(2)再按照进程名称排序,查看下有无异常进程,比如svchost.exe 有无名称类似(比如svchsot.exe)的或者64位系统下有svchost.exe*32 这样的进程。

(3)按照用户名排序,查看下Administrator及其他普通用户的执行进程
attachments-2020-11-4nJPP6BA5fc0ab6bb3249.png

6、检查sqlserver作业

部分黑客可能在sqlserver中建立作业,如果服务器安装了sqlserver,登录mssql管理器,查看sqlserver代理——作业中有无被添加异常的作业,查看下作业中执行的操作,根据操作内容在服务器内删除相应的异常文件,最后一部删除作业,

7、安装杀毒软件

安装云锁全盘扫描,避免手工检测中没有检查到的问题,对高危网站进行目录权限设置,取消上传目录执行脚本权限。

8、重装系统

如果中毒非常严重,导致资源管理器无法加载,或者系统核心文件损坏,只能重装系统,重装后对D盘进行一次杀毒检查。

  • 发表于 2020-11-27 15:32
  • 阅读 ( 1019 )
  • 分类:服务器

0 条评论

请先 登录 后评论
东北大表哥
东北大表哥

自由职业

114 篇文章

作家榜 »

  1. 东北大表哥 114 文章
  2. 小鹄 1 文章
  3. 是诸法空相 0 文章
  4. 周周 0 文章
  5. sdxzxzyt 0 文章
  6. 九哥哥 0 文章
  7. 奶茶别喝我 0 文章
  8. 秋刀鱼 0 文章