命令检查：windows服务器被黑如何快速排查

【版权声明】本文部分内容源于互联网，不代表YINGSOO观点！若有咨询“命令检查”等有关服务器、云主机租用、托管、配置、价格问题，请立即咨询YINGSOO客服，获取最新优惠！

【新品主机】台湾大带宽服务器优惠 | 泰国云服务器优惠 | 新加坡CN2服务器优惠

【主机百科】菲律宾云主机如何？优势、特点、如何租用最全分析！

windows系统我们用得最多了，如果windows 服务器被黑，如何快速排查。

下面是本公司的一些总结，可以快速检查出大部分windows服务器是否被黑，可供大家参考。

感谢大家（关注、转发、收藏）一键三连。

持续更新ing

（一）检查隐藏用户或异常用户

右键计算机---管理---查看本地用户和组，如果用户或用户组带有$符号，说明该用户/用户组被隐藏，很有可能被黑了。

（二）检查异常进程

通过任务管理器查看是否存在异常进程，一般会引起cpu、带宽跑高。

查看到其对应的pid号，一般会隐藏对应pid号程序的真实路径

这里我们一般借助wmic命令，可以通过pid来查看这个进程真实路径

wmic命令

若是cmd输入wmic，提示报错：说不是内部或外部命令。简单来说没有写入环境变量。

其实际路径：C:\Windows\System32\wbem

cd 到此目录下面，运行./wmic即可执行命令。

（1）win进程命令（对应pid非常重要）：

wmicprocessgetname,processid,executablepath

第一步：通过此命令resmon打开资源监视器，找到异常的进程（PID）

第二步：通过cmd通过此命令，查看对应进程（PID）的位置（命令）：wmic process get name,processid,executablepath

第三步：进入对应的目录（打开隐藏的文件），通过dir命令，查看所有文件。

第四步：进入服务器（安全模式），使用命令：del filename;

（三）检查异常文件

首先先打开文件夹管理中的隐藏文件，如图设置

重点检查Windows常见的几个系统目录，比如C:\Windows、C:\Windows\System32，是否存在异常脚本，或可执行文件。

这个需要根据经验排查一下，若不是很确定，可以再用一台正常的windows服务器 对比检查。

（四）检查计划任务

开始菜单——管理工具——计划任务

或者通过cmd命令快速打开既计划任务

输入快捷键“windows键 + R”打开运行框,，然后在运行框中输入“taskschd.msc”打开任务计划程序,

主要检查有没有异常执行的脚本

找到执行异常的计划任务，请不要直接删除。而是先点香港服务器免费击此计划任务，选中《操作》就可以看到详细信息了，到对应目录下面进行删除。

（五）安装杀毒软件

全面扫描磁盘，避免手工排查一些疏漏。当然安全软件扫描也不是100%准确，还需实际分析一下。

安全软件一般推荐安装火绒、安全狗等。

YINGSOO的海外站群服务器产品线，覆盖了美国、香港、韩国三大节点，可提供1-16C段多IP服务器，带宽及IP资源充足，极大程度上满足了您的建站需求。详询售前小姐姐（Min-微信号：YINGSOO-VIP1 / 企业QQ：3002770458）

热门搜索：【下图虚拟目录】【香港服务器】【云托管】【文件操作】【腐蚀元素】【监控重点】【端口连接】【服务器关闭】【选择日本服务器】【代码复制】【会员价销售】【命令命令提示符】【自定义数据】【设置关闭】【配置服务器】【备份数据库】【文件扫描】【空间域名】【服务器云端】【网站用户】【分页索引】【美国直播】【服务器托管】【主机翼】【注入数据库】【索引生成】【查看香港】【上传虚拟主机】【红星朝鲜】【函数返回】

版权声明：本站文章来源标注为YINGSOO的内容版权均为本站所有，欢迎引用、转载，请保持原文完整并注明来源及原文链接。禁止复制或仿造本网站，禁止在非www.yingsoo.com所属的服务器上建立镜像，否则将依法追究法律责任。本站部分内容来源于网友推荐、互联网收集整理而来，仅供学习参考，不代表本站立场，如有内容涉嫌侵权，请联系alex-e#qq.com处理。