如何判断服务器是否被入侵了

服务器被入侵是很多站长或者游戏GM经常会听到，也有可能是已经有遇到过的问题。系统被入侵后，通常会导致系统资源占用过高、异常端口和进程、可疑的账号或文件等，给业务系统带来不稳定等诸多问题。

一般情况下，用于入侵的木马病毒会随着计算机启动而启动并获取一定的控制权，启动方式多种多样，比如注册表、服务、计划任务等。这些都是平时需要重点排查的地方。服务器的日志也需要重点关注。在服务器的使用过程中，要如何判断系统是否有被入侵了，要如何查看。

过系统账号排查

1.查看服务器是否存在可疑账号或新增账号。打开cmd窗口，输入lusrmgr.msc命令，查看是否有新增或可疑账号，如果管理员群组的(Administrators)里有新增账户，需要立即删除

2.查看服务器是否存在隐藏账号。在cmd中使用net use，看不到test$这个账号，但在控制面板和本地用户是可以显示此用户的。

3.查收Windows系统日志，按Win+R，输入eventvwr.msc，打开事件查看器查看管理员登录时间、用户名、账号登录情况，比如成功或失败的次数，是否存在异常。

通过端口连接排查

1.检查端口连接情况。通过netstat -ano 查看目前的网络连接，重点是查ESTABLISHED可疑端口。然后再通过tasklist命令进行进程定位tasklist | findstr “PID”

2.检查可疑的网络连接。检查是否存在可疑的网络连接，如发现异常，可使用Wireshark网络抓包辅助分析。

通过系统进程进行排查

检查是否存在可疑的进程。Win+R输入msinfo32，点击软件环境中的正在运行任务就可以查看到进程的详细信息，比如进程路径、文件日期、启动时间等。

通过系统内的可疑文件排查

检查新建文件、最近访问文件和相关下载目录

1.查看用户目录，是否有新建用户目录。

2.Win+R，输入%UserProfile%\Recent，分析最近打开是否有可疑文件。

3.查找可疑文件服务器各个目录。

4.回收站、浏览器下载目录、浏览器历史记录等。

5.查看文件的修改时间或创建时间。