如何知道服务器ip被入侵

小编对使用WindowsServer系统的服务器和VPS主机是否存在恶意入侵进行了简单的描述，并提供了简单相应的解决方案。第一步是检查系统组和用户。我的电脑-右键管理-本地用户和组-组。检查administrators组中是否strator)外，administrators组中是否有其他用户帐户。检查users组中是否有非系统默认账户或管理员指定的账户。本地用户和组-用户。检查是否有未注释或名称异常的用户。一般来说，软件后入侵的服务器会在administrators组中添加admin$或类似用户。一旦发现此类用户，应首先避免操作任何程序，停止所有服务，及时使用杀毒软件对服务器关键区域进行完整扫描（启动存储、C盘系统文件夹用户定制文件夹），避免木马二次交叉感染。第二步是检查管理员账户是否有异常登录和注销记录。我的电脑-右键管理-事件查看器-安全。筛选所有事件ID为576和528的事件(576为系统登录日志，528为系统注销日志)，查看具体事件信息。内容中会有登录IP。检查IP是否是管理员常用的IP。第三步，检查服务器是否有异常登录启动。开始菜单-所有程序-启动。默认情况下，目录应该是空目录，但如果出现异常。bat程序应完全扫描服务器，以确认服务器的安全性。开始菜单-操作。msconfig。在启动菜单栏中是否有命名异常的启动项目，如A.EXEXXXI1SU2.EXE等，一旦发现全面扫描服务器确认服务器安全性。开始菜单-操作。regedit。hkey_curent_user-software-micorsoft-windows-curentversion-run。hkey_curent_machine-software-micorsoft-windows-curentversion-run。检查上述两个项目是否有异常。一般情况下，如果上述三个步骤没有异常，基本上可以判断服务器的安全环境是无故障的。

转载于天翼云知识，如有侵权，请联系删除，谢谢