Windows主机异常排查方法

发现windows主机异常，进一步就是对主机进行排查，溯源

1.事件查看器（eventvwr）查看操作系统的系统日志和安全日志，看是否有可疑行为，可导出系统日志（C:\Windows\System32\winevt\Logs），使用日志分析工具可以更加快速进行分析。

安全日志中查看登录成功和登录失败情况，查看事件ID4624和4625；看是否有异常登录情况，比如ID 10和ID 2是远程登录；检查创建新进程列表事件ID:4688 ;进程终止事件ID: 4689。

2.检查系统进程(taskmgr)、启动项（msconfig）、服务（services）,检查是否异常进程，启动项和服务。

3.查看有没有新建用户；net user

4.检查端口启用连接情况： netstat –an

5.检查补丁更新情况：systeminfo

6.使用深信服webshell查杀工具和D盾查杀工具，火绒防病毒软件，对系统进行全盘扫描查杀，看是否存在webshell文件及其他恶意文件。

7.查看应用软件的访问日志，安全日志等（Apache 、Nginx、IIS）

IIS日志路径:

Windows Server 2008 R2、2012、2016、2019 iis7以上日志路径：C:\inetpub\logs\LogFiles

Windows Server 2003 iis6日志路径：C:\Windows\System32\LogFiles

Apache 日志路径：

Windows: <Apache安装目录>\logs\access.log | error.log

Linux: /usr/local/apache/logs/access_log | error_log