一、工具扫描
使用木马查杀工具 对web后门 进行查找
如d盾、、、
二、日志分析、端口、进程、开机、注册表
1、网站通常是看中间件日志,通常目录是在中间件的logs目录下的acces.log文件。
2、端口
netstat -ano
参数说明:
-a 显示所有网络连接、路由表和网络接口信息
-n 以数字形式显示地址和端口号
-o 显示与每个连接相关的所属进程 ID
-r 显示路由表
-s 显示按协议统计信息、默认地、显示 IP
常见的状态说明:
LISTENING 侦听状态
ESTABLISHED 建立连接
CLOSE_WAIT 对方主动关闭连接或网络异常导致连接中断
3、进程查看tasklist 启动项查看
二、用户
1、net user 看用户
2、看隐藏用户
三、系统排查
四、使用工具排查