windows系统我们用得最多了，如果windows 服务器被黑，如何快速排查。

下面是小梁的一些总结，可以快速检查出大部分windows服务器是否被黑，可供大家参考。

感谢大家（关注、转发、收藏）一键三连。

持续更新ing

（一）检查隐藏用户或异常用户

右键计算机---管理---查看本地用户和组，如果用户或用户组带有$符号，说明该用户/用户组被隐藏，很有可能被黑了。

（二）检查异常进程

通过任务管理器查看是否存在异常进程，一般会引起cpu、带宽跑高。

查看到其对应的pid号，一般会隐藏对应pid号程序的真实路径

这里我们一般借助wmic命令，可以通过pid来查看这个进程真实路径

wmic命令

若是cmd输入wmic，提示报错：说不是内部或外部命令。简单来说没有写入环境变量。

其实际路径：C:\Windows\System32\wbem

cd 到此目录下面，运行./wmic即可执行命令。

（1）win进程命令（对应pid非常重要）：

 wmic process get name,processid,executablepath

第一步：通过此命令resmon打开资源监视器，找到异常的进程（PID）

第二步：通过cmd通过此命令，查看对应进程（PID）的位置（命令）：wmic process get name,processid,executablepath

第三步：进入对应的目录（打开隐藏的文件），通过dir命令，查看所有文件。

第四步：进入服务器（安全模式），使用命令：del filename;

（三）检查异常文件

首先先打开文件夹管理中的隐藏文件，如图设置

重点检查Windows常见的几个系统目录，比如C:\Windows、C:\Windows\System32，是否存在异常脚本，或可执行文件。

这个需要根据经验排查一下，若不是很确定，可以再用一台正常的windows服务器 对比检查。

（四）检查计划任务

开始菜单——管理工具——计划任务

或者通过cmd命令快速打开既计划任务

输入快捷键“windows键 + R”打开运行框,，然后在运行框中输入“taskschd.msc”打开任务计划程序,

主要检查有没有异常执行的脚本

找到执行异常的计划任务，请不要直接删除。而是先点击此计划任务，选中《操作》就可以看到详细信息了，到对应目录下面进行删除。

（五）安装杀毒软件

全面扫描磁盘，避免手工排查一些疏漏。当然安全软件扫描也不是100%准确，还需实际分析一下。

安全软件一般推荐安装火绒、安全狗等。

版权申明：本站文章均来自网络，如有侵权，请联系01056159998 邮箱：itboby@foxmail.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有