Windows 系統服務器被入侵怎么排查

一、檢查系統賬戶

1、查看是否有弱口令，遠程管理端口是否開放公網。
2、查看服務器是否存在可疑賬戶，新增賬戶。
3、查看服務器是否有隱藏賬戶。
4、查看日志，查看登陸時間、用戶名。

二、檢查異常端口、進程

1、檢查端口連接情況，是否有遠程連接，可疑連接。
2、查看是否有異常用戶。

三、檢查啟動項、計劃任務、服務

1、檢查服務器是否有異常的啟動項
2、檢查計劃任務
3、服務自啟動

四、檢查系統相關信息

1、查看系統版本以及補丁信息
2、查找可疑目錄及文件

五、下載軟件自動化查殺

1、病毒查殺
檢查方法：下載安全軟件，更新病毒庫，進行全盤掃描。
2、webshell查殺

六、日志分析

1、系統日志
2、web訪問日志

回答所涉及的環境：聯想天逸510S、Windows 10。