Windows服务器被入侵后如何实现排查工作，应该从那几方面入手，排查什么内容

1. 检查系统账号
(1) 检查远程管理端口是否对公网开放，服务器是否存在弱口令。
检查方法：
检查防火墙映射规则，获取服务器账号登录，也可根据实际情况咨询相关管理员。
 
(2)查看服务器是否存在可疑账号或新增账号。
检查方法：
打开cmd窗口，输入lusrmgr.msc命令，查看是否有新增或可疑账号，如果管理员群组的(Administrators)里有新增账户，请立即删除。
 
(3)查看服务器是否存在隐藏账号。
检查方法：
运行CMD命令使用net use，看不到test$这个账号，但在控制面板和本地用户是可以显示此用户的。
 
(4)Windows日志
检查方法：
按Win+R，输入eventvwr.msc，打开事件查看器查看管理员登录时间、用户名、账号登录情况，比如成功或失败的次数，是否存在异常。
 
2. 检查异常端口
(1)检查端口连接情况
检查方法：
a. netstat -ano 查看目前的网络连接，重点是查ESTABLISHED可疑端口。
b. 再通过tasklist命令进行进程定位tasklist | findstr “PID”
 
(2)检查可疑的网络连接
检查方法
检查是否存在可疑的网络连接，如发现异常，可使用Wireshark网络抓包辅助分析。
3. 检查异常进程
检查是否存在可疑的进程
检查方法：
Win+R输入msinfo32，点击软件环境中的正在运行任务就可以查看到进程的详细信息，比如进程路径、文件日期、启动时间等。
 
4. 检查启动项
(1)检查异常的启动项
检查方法：
a.登录服务器，单击【开始】>【所有程序】>【启动】，默认情况下此目录是一个空目录，确认是否有程序在该目录下。
 
b.Win+R，输入msconfig，查看是否存在异常的启动项目，如有请删除。
 
C. Win+R，输入regedit，打开注册表查看开机启动项是否正常
 
特别注意以下三个注册表项：
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
检查右侧是否有启动异常的项目，如有请删除，并建议使用杀毒软件进行病毒查杀和清除。
5.检查计划任务
(1)检查是否有可疑的脚本执行
检查方法：
a.单击【开始】>【设置】>【控制面板】>【任务计划】，查看计划任务属性，便可以发现有可疑文件的路径。
 
b. Win+R，输入cmd，然后输入schtasks.exe，本地或远程电脑上创建、删除、查询、更改、运行和结束计划任务，如有请确认是否为正常连接。
 
6. 检查服务
(1)检查系统服务名称、描述和路径，是否存在异常
检查方法：
Win+R，输入services.msc，检查是否有异常服务。
 
7. 检查可疑文件
(1)检查新建文件、最近访问文件和相关下载目录
检查方法：
a.查看用户目录，是否有新建用户目录。
b. Win+R，输入%UserProfile%\Recent，分析最近打开是否有可疑文件。
c.查找可疑文件服务器各个目录。
d.回收站、浏览器下载目录、浏览器历史记录等。
e.查看文件的修改时间或创建时间。