文章大纲：

• 1、怎么查看服务器被入侵？
• 2、怎么检查网站服务器是否被入侵？
• 3、如何查出谁入侵我的服务器
• 4、如何对网站进行漏洞扫描及渗透测试？
• 5、网站建设之网站被黑如何得知？具体排查 *** 是什么？+互联网
• 6、如何快速判断服务器是否被恶意入侵

怎么查看服务器被入侵？

在网上，有不少人恶意入侵别人的服务器，做一些坏事。作为服务器管理人员，要经常检查自己的服务器安全。如果发现服务器被入侵，要尽快做相关的补救措施。但前提，你要能发现自己的服务器被入侵。其实还是有一些技巧的：之一步、检查系统组及用户有没有异常1：我的电脑——右键管理——本地用户和组——组检查administrators组内是否存在除开管理员用户账号（默认为administrator）以外的其他用户账号。检查users组内是否存在非系统默认账号或管理员指定账号。2：本地用户和组——用户检查是否存在未做注释或名称异常的用户。如果发现有异常，马上删除这些异常用户。第二步：查看管理员的日常登录日志。主要是检查管理员账户是否存在异常的登陆和注销记录具体的操作步骤：我的电脑——右键管理——事件查看器——安全性具体的检查 *** ：筛选所有事件ID为576和528的事件（576为系统登陆日志528为系统注销日志）查看具体事件信息内容。内容内会存在一个登陆IP。检查该IP是否为管理员常用登陆的IP。一般通过上面两个 *** ，就很容易检查到自己的服务器有没有被入侵。

怎么检查网站服务器是否被入侵？

网站服务器是否遭到侵略也可以终究靠以下几个过程进行承认：

之一步：查看体系组及用户。假设发现administrators组内增加一个admin$或相类似的用户，或许性你的网站就已遭到了侵略；

第二步：查看管理员账户是否存在反常的登录和刊出记载

挑选一切体系登录日记及体系刊出日记，并具体查看其登录ip，核实该ip是否为常用的管理员登录ip；

第三步：查看服务器是否存在反常启动项

上面三个过程任何一个过程呈现了反常都有或许是因为服务器遭到了侵略。

网站服务器遭受侵略应该怎么处理

1.暂时封闭网站

网站被侵略之后，最常见的状况便是被植入木马，为了确保访问者的安全，一般都要把网站暂时封闭。在封闭过程中可以把域名暂时转到别的一个网站或许一个告诉页面。

2.剖析网站受损程度

有些黑客侵略了网站之后会把一切的网站数据都清空，假设有数据备份的站点可以终究靠数据备份康复网站数据，假设没有备份的则需要请专业硬盘数据康复公司进行数据康复。假设网站的页面数据没有发生什么改变，则网站或许仅仅是被挂马了，可以终究靠第三四个过程消除影响。

3.检测缝隙并打补丁

数据康复之后一定要扫描网站的缝隙并进行打补丁处理。一般的网站程序官方都会定时推出相关的补丁文件，只要把文件上传到服务器并掩盖之即可。

4.木马病毒铲除

木马病毒可以终究靠专业的杀毒软件进行查杀。在这里必需要分外留意的是，有时候有些正常的文件都会被误判为病毒，这样一个时间段就需要用户自己细心辨认之了。

5.常常备份数据

重要的数据经常备份

6.建议可以联署一些防入侵，篡改的防护产品

如何查出谁入侵我的服务器

我在电信的托管服务器也被入侵了,安装了硬防火墙也挡不住.我有时怀疑是不是谁在故意在搞我的破坏.

国家在这方面的法律跟不上,犯罪人太多.只能靠自己了.以下是一篇摘录的文章,文章比较长且晦涩,但读后至少知道追踪原理,至于能不能追踪到,这就涉及到很多方面了.关键还是做好预防.

系统安全策略----如何追踪入侵者

入侵者的追踪(Intruder Tracing)

在区域网路上可能你听过所谓「广播模式」的资料发送 *** ，此种 *** 不指定收信站，只要和此网路连结的所有网路设备皆为收信对象。但是这仅仅在区域网路上能够实行,因为区域网路上的机器不多(和Internet比起来 )。如果象是Internet上有数千万的主机,本就不可能实施资料广播(至于IP Multicast算是一种限定式广播 Restricted Broadcast,唯有被指定的机器会收到,Internet上其他电脑还是不会收到)。假设Internet上可以实施非限定广播，那随便一个人发出广播讯息，全世界的电脑皆受其影响，岂不世界大乱？因此,任何区域网 路内的路由器或是类似网路设备都不会将自己区域网路内的广播讯息转送出去。万一在WAN Port收到广播讯息，也不会转进自己的LAN Port中。

而既然网路皆有发信站与收信站，用以标示信息发送者与信息接收者，除非对方使用一些特殊的封包封装方式或是使用防火墙对外连线，那么只要有人和你的主机进行通讯(寄信或是telnet、ftp过来都算) 你就应该会知道 对方的位址，如果对方用了防火墙来和你通讯，你最少也能够知道防火墙的位置。也正因为只要有人和你连线，你就能知道对方的位址，那么要不要知道对方位置只是要做不做的问题而已。如果对方是透过一台UNIX主机和你连线，则你更可以透过ident查到是谁和你连线的。

在实行TCP/IP通讯协定的电脑上,通常可以用netstat指令来看到目前连线的状况。(各位朋友可以在win95、Novell以及UNIX试试看(注一)，在下面的连线状况中，netstat指令是在win95上实行的，可以看到目前自己机器(Local Address处)的telnetport有一台主机workstation.variox.int 由远端(Foreign Address处)连线进来并且配到1029号tcp port.而cc unix1主机也以ftpport连到workstation.variox.int去。所有的连线状况看得 一清二楚。(如A、B)

A.在UNIX主机(ccunix1.variox.int)看netstat

B.另一端在Windows95(workstation.variox.int)看netstat, 虽然是不同的作业系统，但netstat是不是长得很像呢？

通信过程的纪录设定

当然，如果你想要把网路连线纪录给记录下来，你可以用cron table定时去跑： netstat＞＞filename

但是UNIX系统早已考虑到这一个需求，因此在系统中有一个专职记录系统事件的Daemon:syslogd，应该有很多朋友都知道在UNIX系统的/var/adm下面有两个系统纪录档案：syslog与messages，一个是一般系统的纪录，一个是核心的纪录。但是这两个档案是从哪边来的，又要如何设定呢？

系统的纪录基本上都是由syslogd (System Kernel Log Daemon)来产生，而syslogd的控制是由/etc/syslog.conf来做的。syslog.conf以两个栏位来决定要记录哪些东西，以及记录到哪边去。下面是一个 Linux系统所附上的yslog.conf档案，这也是一个最标准的syslog.conf写法：

格式就是这样子，之一栏写「在什么情况下」以及「什么程度」。然后用TAB键跳下一栏继续写「符合条件以后要做什么」。这个syslog.conf档案的作者很诚实，告诉你只能用TAB来作各栏位之间的分隔(虽然看来好像他也不知道为什么)。 之一栏包含了何种情况与程度，中间小数点分隔。另外，星号就代表了某一细项中的所有选项。详细的设定方式如下：

1.在什么情况：各种不同的情况以下面的字串来决定。

auth 关于系统安全与使用者认证方面

cron 关于系统自动排程执行(CronTable)方面

daemon 关于背景执行程式方面

kern 关于系统核心方面

lpr 关于印表机方面

mail 关于电子邮件方面

news 关于新闻讨论区方面

syslog 关于系统纪录本身方面

user 关于使用者方面

uucp 关于UNIX互拷(UUCP)方面

上面是大部份的UNIX系统都会有的情况，而有些UNIX系统可能会再分出不同的项目出来。

2.什么程度才记录：

下面是各种不同的系统状况程度，依照轻重缓急排列。

none 不要记录这一项

debug 程式或系统本身除错讯息

info 一般性资讯

notice 提醒注意性

err 发生错误

warning 警告性

crit 较严重的警告

alert 再严重一点的警告

emerg 已经非常严重了

同样地，各种UNIX系统可能会有不同的程度表示方式。有些系统是不另外区分crit与alert的差别，也有的系统会有更多种类的程度变化。在记录时，syslogd 会自动将你所设定程度以及其上的都一并记录下来。例如你要系统去记录 info等级的事件，则notice、err.warning、crit、alert、emerg等在info等级以上的也会一并被记录下来。 把上面所写的1、2项以小数点组合起来就是完整的「要记录哪些东西」的写法。例如 mail.info表示关于电子邮件传送系统的一般性讯息。auth.emerg就是关于系统安全方面相当严重的讯息。 lpr.none表示不要记录关于列表机的讯息(通常用在有多个纪录条件时组合使用)。另外有三种特殊的符号可供应用：

1.星号(*) 星号代表某一细项中所有项目。例如mail.*表示只要有关mail的，不管什么程度都要记录下来。而*.info会把所有程度为info的事件给记录下来。

2.等号(＝)等号表示只记录目前这一等级，其上的等级不要记录。例如刚刚的例子，平常写下info等级时，也会把位于info等级上面的notice、err.warning、crit、alert、emerg等其他等级也记录下来。但若你写=info则就只有记录info这一等级了。

3.惊叹号(！) 惊叹号表示不要记录目前这一等级以及其上的等级。

记录到哪边去?

一般的syslogd都提供下列的管道以供您记录系统发生的什么事：

1.一般档案

这是最普遍的方式。你可以指定好档案路径与档案名称，但是必须以目录符号「/」开始，系统才会知道这是 一个档案。例如/var/adm/maillog表示要记录到/var/adm下面一个称为maillog的档案。如果之前没有这个档案 ，系统会自动产生一个。

2.指定的终端机或其他设备

你也可以将系统纪录写到一个终端机或是设备上。若将系统纪录写到终端机，则目前正在使用该终端机的使 用者就会直接在萤幕上看到系统讯息(例如/dev/console或是/dev/tty1.你可以拿一个萤幕专门来显示系统讯息 )。若将系统纪录写到印表机，则你会有一长条印满系统纪录的纸(例如/dev/lp0)。

3.指定的使用者

你也可以在这边列出一串使用者名称，则这些使用者如果正好上线的话，就会在他的终端机上看到系统讯息( 例如root，注意写的时候在使用者名称前面不要再加上其他的字)。

4.指定的远端主机

这种写法不将系统讯息记录在连接本地机器上，而记录在其他主机上。有些情况系统碰到的是硬碟错误，或是万一有人把主机推倒，硬碟摔坏了，那你要到哪边去拿系统纪录来看呢？而网路卡只要你不把它折断，应该是比硬碟机耐摔得多了。因此，如果你觉得某些情况下可能纪录没办法存进硬碟里，你可以把系统纪录丢到其他的主机上。如果你要这样做，你可以写下主机名称，然后在主机名称前面加上「@」符号(例如 @ccunix1.variox.int，但被你指定的主机上必须要有syslogd)。

在以上各种纪录方式中，都没有电子邮件这项。因为电子信件要等收件者去收信才看得到， 有些情况可能是很紧急的， 没办法等你去拿信来看(BSD的Manual Page写着「when you got mail,it's already too late...」 :-P)。以上就是syslog各项纪录程度以及纪录方式的写法，各位读者可以依照自己的需求记录下自己所需要的内容。但是这些纪录都是一直堆上去的，除非您将档案自行删除掉，否则这些档案就会越来越大。有的人可能会在syslogd.conf里面写：*.*/var/log/everything

要是这样的话，当然所有的情况都被你记录下来了。但是如果真的系统出事了，你可能要从好几十MB甚至几百MB的文字中找出到底是哪边出问题，这样可能对你一点帮助都没有。因此，以下两点可以帮助你快速找到重要的纪录内容：

1.定期检查纪录

养成每周(或是更短的时间，如果你有空的话)看一次纪录档的习惯。如果有需要将旧的纪录档备份，可以 cploglog.1,cploglog.2...或是cploglog.971013,cploglog.980101...等，将过期的纪录档依照流水号或是日期存起来，未来考察时也比较容易。

2.只记录有用的东西

千万不要像前面的例子一样,记录下*.*。然后放在一个档案中。这样的结果会导致档案太大，要找资料时根本无法马上找出来。有人在记录网路通讯时，连谁去ping他的主机都记录。除非是系统已经遭到很大的威胁，没事就有人喜欢尝试进入你的系统，否则这种鸡毛蒜皮的小事可以不用记录。可以提升些许系统效率以及降低硬盘使用量(当然也节省你的时间)。

地理位置的追踪

如何查出入侵者的地理位置？光看IP地址可能看不出来，但是你常看的话，会发现也会发现规律的。在固接式的网路环境中，入侵者一定和网路提供单位有着密切的关系。因为假设是区域网路，那么距离绝对不出几公里。就算是拨接好了，也很少人会花大笔钱去拨外县市甚至国外的拨接伺服器。因此，只要查出线的单位，入侵者必然离连线单位不远。

拨接式的网路就比较令人头疼了。有许多ISP为了吸引客户,弄了很多什么 *** 卡。User这边只要买了固定的小时数,不需须另外向ISP那边提出申请，就可以按照卡片上的说明自行拨接上网。这样当然可以吸引客户,但是ISP就根本无从得知是谁在用他们的网路。也就是说,虽然以 *** 卡提供拨接服务给拨接使用者带来相当大的便利，但却是系统安全的大敌，网路管理员的恶梦。如果入侵你的人是使用 *** 卡来上网，那……，要从拨号的地点查吗？入侵者可以不要用自己家里的 *** 上网。管它是偷是抢，或是盗打王八机，反正查到的发话来源绝不是入侵者自己的 *** 。

来话者 *** 侦测(Caller ID)

各位读者家中有ISDN吗？如果你用过ISDN的Caller ID功能,会发现真是方便极了，对方的号码马上就显示出来给你看。看到女朋友打 *** 来，马上就接了起来；而杂志社的打来催稿,就打开 *** 答录机假装不在家…… :-P.但是Caller ID依然有失效的时候。有以下测试,是看CallerID可以显示出哪些号码的(受测机种为Zyxel,终端机使用Windows NT的Hyper Terminal)：要显示来话方号码的前提是，对必须是透过数位交换机打到你这边，有些地区目前仍然使用机械式交换机，如果你打 *** 的交换路径中，有经过这些机械式的交换机，那么依然无法显示出号码来。其他 *** 还没有做测试。

如何靠IP地址或Domain Name找出入侵者位置？

虽然 *** 不一定查得出来，但是至少你会知道他的IP地址。IP地址的使用必须向InterNIC登记，而Domain Name要向当地直属的网路管理中心登记。在Internet上的网路管理中心共有三个层级(单位性质一定为NET)：

1.国际等级

国际等级只有InterNIC一个，全球各国的NIC以及洲际NIC均由其管理。()。

2.洲际等级

InterNIC并不直接管理整个Internet，其下的网路资源会再做分区。例如台湾、日本、香港等亚太地区国家 ，由亚太洲际网路管理中心(Asian-PacificNIC,APNIC，位于日本)来管理，并不直接由InterNIC管理 ()。

3.国家等级

Domain Name后面不挂国码的不是由InterNIC管理就是由洲际的NIC管理,但是有挂国码的由当地国家之NIC管理,惯例是两位国码加上NIC就是该国NIC之名称。例如中国的国码为CN，则中国网路管理中心为CNNIC()，但由于InterNIC位于美国，因此美国的DomainName由InterNIC直辖。有一个特别的例外是挂.mil的美国军方网路的资料是由ddn.mil(美国军事防卫网路)来管理,不由InterNIC管理，当您得到某个Domain Name或是IP地址后，可以使用whois来查出资料，语法如下：

whois -h＜whois服务器＞＜查询对象＞

例如向whois.internic.net查询hp.com，需输入：whois -h whois.internic.nethp.com whois

也可能使用下列语法：

whois ＜查询对象＞@＜whois伺服器＞

例如向whois.twnic.net查询ntu.edu.tw需输入：whois ntu.edu.tw@whois.twnic.net

目前在Slackware Linux附上的为后者。

Domain Name命名的三种情况

虽然同样是 Domain Name，可能你会遇到三种命名的不同情况。在许多国家*.edu.*是由NIC以外的单位所管理( 如育部)，而属性也不一定是三个字母，甚至没有属性。在判断单位性质时读者宜多加注意，以免找不到资料。

1.标准国码＋三码属性码(或没有国码，仅有属性码)

普遍使用于欧洲，美洲国家以及部份东南亚国家。如台湾常见*.edu.tw、*.com.tw，美国的*.com、*.edu。

2.标准国码＋二码属性码

以日本例，公司属性为co，社团属性为or，和三码定义的com、org略有不同。如日本万代公司之Homepage 为,如果读者要使用公司名称拼凑出完整主机名称时，需注意日本为仅有两码属性码之地区，否则若猜测其为就会发生错误(注：在国际通信范例中，无论是无线电通信、国际越洋电 话、乃至于网际网路等,均将台湾与中国大陆划分为两个不同国家。在此将中国大陆与台湾区分,除突显此一 特性外，并无其他涵义，请大家勿需自行揣测其他意义)。

3.仅有标准国码，未有任何属性码

如澳洲的主机均为仅有*.au之主机名称,未有任何其他的com、co、或任何单位属性码后面直接接上单位名称 。

由Domain Name查出连线单位资料

在Internet上惯例由whois服务来查询连线单位的登记资料，whois本来应该是用来查某人的 *** 或是其他资 料的(有点像是finger或是现在很流行的寻人服务，像是whowhere、bigfoot之类的，请上一 探究竟)，但是在NIC方面是用来查出连线单位的 *** 以及住址，技术联络人等。符合该NIC管理权限的单位资料 会存放于该单位的whois主机中，惯例是whois＋NIC名称＋net。例如亚太地区网路管理中心whois server为whois.apnic.net,台湾网路中心whois server为whois.twnic.net,我过网路中心whois server是whois.cnnic.net。当你知道某台主机的Domain Name以后，可以依照下面顺序查出连线单位的 *** 住址等资料。

之一步，先看有没有国码。

没有国码的，向whois.internic.net问；有国码的,向whois.国码nic.net问 (ex.whois.twnic.net)。

另外,如果你要查美国军事单位的联络明细(假如某天你发现有人利用美国海军的网路来入侵你的电脑)则你需要向nic.ddn.mil查询，方可查到资料。例如查出美国陆军的资料：但FBI等调查机构属 *** 单位，非军事单位 ，查询时需注意： 由DomainName查出资料， 如您能从nslookup查出某一IP地址之FQDN，则可以直接向当地NIC查出入侵者网路之资料：

1.由美国入侵的例子：

由 xxx.aol.com入侵由主机名称发现未有国码， 因此直接向InterNIC查询。由此我们可以查到America Online的技术负责人以及 *** 、传真等资料，把你的系统纪录档准备好，发封传真去告洋状吧！

2.由台湾入侵的例子：

由HopeNet入侵(cded1.hope.com.tw)由于TWNIC目前whois资料库不知怎么的不见了，故请改由 dbms.seed.net.tw查出hope.com.tw之中文名称，再打104询问该公司的 *** ！现在如果直接由whois.twnic.net 查询会这样：

只有IP地址的查法

若某天您发现由168.95.109.222有人入侵,假设您不知道这是哪里的网路,而这个IP地址也没有Domain Name 的话，则须先将IP地址分等级，再向InterNIC查询： (以下作为范例之位址均为虚构，如有雷同，纯属巧合)。

1.由15.4.75.2入侵的例子：

此IP地址是15开头,为一个ClassA网路,故向InterNIC查询15.0：查出此IP地址为惠普公司所有

2.由140.111.32.53入侵的例子：

此IP地址为ClassB,需查询两次。先向InterNIC查询140.111.0：查出为台湾教育部所有。再向 whois.twnic.net查询140.111.32.0：

3.由203.66.35.1入侵的例子

这是一个ClassCIP，因此必须查询至少二次，一般是三次。顺序为国际－＞洲际－＞所属国家。先查203.0：出来一大堆,怎么办？有的情况只好再追问ClassB。由于InterNIC将部份ClassC交给洲际管理机构来负责配给，因此有些ClassC的资料会在洲际管理机构，此时先向InterNIC查出所属洲际管理机构(用ClassB问)。问到 203.66为亚太地区洲际网路，于是向whois.apnic.net询问203.66.35.0：查了三次以后，终于查到203.66.35.0 为：

在一堆资料中查到203.66.35.1，此一IP地址为ForwardnessTechnologyCo.Ltd.所有， *** 地址也一并附在上面

由以上的查法,可以由任一主机名称或IP地址查到连线者网路单位的资料,如果您发现该网路单位下属主机对您的网路有攻击行为，请检具资料告诉对方的系统管理员(对方不一定接受)。下面是Windows95的hosts档案：当您没有DNS的时候,您可以拿这个来将DomainName＜－＞IP地址的对应工作做好。写法就和UNIX一样。Microsoft的这个hosts档案写的是给chicago用的,这是windows95的开发代号，看见没？(看来Microsoft出windows95时太赶，忘了修正这些小东西)， 不过各位读者要注意的是， 原先的hosts档案档名是hosts.sam，您要自己将档名改成hosts才能用。

注：几乎所有使用TCP/IP通讯协定的机器都会有hosts、network等档案。这是所有TCP/IP系统的共通习惯(但只有 Microsoft的软体会有lmhosts来配合Microsoft自己的wins域名解译系统)。如果读者有注意到的话，可以发现 Novell Netware服务器也有一个etc目录，还有hosts等档案！

祝你好运..........

如何对网站进行漏洞扫描及渗透测试？

注册一个账号，看下上传点，等等之类的。

用google找下注入点，格式是

Site:XXX.com inurl:asp|php|aspx|jsp

更好不要带 www，因为不带的话可以检测二级域名。

大家都知道渗透测试就是为了证明 *** 防御按照预期计划正常运行而提供的一种机制，而且够独立地检查你的 *** 策略，一起来看看网站入侵渗透测试的正确知识吧。

简单枚举一些渗透网站一些基本常见步骤：

一 、信息收集

要检测一个站首先应先收集信息如whois信息、网站真实IP、旁注、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息有哪些等等

二、收集目标站注册人邮箱

1.用社工库里看看有没有泄露密码，然后尝试用泄露的密码进行登录后台。2.用邮箱做关键词,丢进搜索引擎。3.利用搜索到的关联信息找出其他邮进而得到常用社交账号。4.社工找出社交账号，里面或许会找出管理员设置密码的习惯 。5.利用已有信息生成专用字典。6.观察管理员常逛哪些非大众性网站，看看有什么东西

三、判断出网站的CMS

1:查找网上已曝光的程序漏洞并对其渗透2:如果开源，还能下载相对应的源码进行代码审计。

3.搜索敏感文件、目录扫描

四、常见的网站服务器容器。

IIS、Apache、nginx、Lighttpd、Tomcat

五、注入点及漏洞

1.手动测试查看有哪些漏洞

2.看其是否有注入点

3.使用工具及漏洞测试平台测试这个有哪些漏洞可利用

六、如何手工快速判断目标站是windows还是linux服务器？

Linux大小写敏感,windows大小写不敏感。

七、如何突破上传检测？

1、宽字符注入

2、hex编码绕过

3、检测绕过

4、截断绕过

八、若查看到编辑器

应查看编辑器的名称版本,然后搜索公开的漏洞

九、上传大马后访问乱码

浏览器中改编码。

十、审查上传点的元素

有些站点的上传文件类型的限制是在前端实现的，这时只要增加上传类型就能突破限制了。

扫目录，看编辑器和Fckeditor，看下敏感目录，有没有目录遍及，

查下是iis6,iis5.iis7，这些都有不同的利用 ***

Iis6解析漏洞

Iis5远程溢出，

Iis7畸形解析

Phpmyadmin

万能密码:’or’='or’等等

等等。

每个站都有每个站的不同利用 *** ，自己渗透多点站可以多总结点经验。

还有用google扫后台都是可以的。

网站建设之网站被黑如何得知？具体排查 *** 是什么？+互联网

网站被黑怎么查？

1、分析系统和服务器日志，检查自己站点的页面数量、用户访问流量等是否有异常波动，是否存在异常访问或操作日志;

2、检查网站文件是否有不正常的修改，尤其是首页等重点页面;

3、网站页面是否引用了未知站点的资源(图片、 *** 等)，是否被放置了异常链接;

4、检查网站是否有不正常增加的文件或目录;

5、检查网站目录中是否有非管理员打包的网站源码、未知txt文件等;

6、使用百度站长平台抓取诊断工具，诊断网页是否被加了黒链、隐藏文本。

7、其他工具。一些网站监控工具是很好用的，比如它，可以检测到网站是否被劫持，域名是否被墙，DNS污染检测，网站打开速度检测，网站是否被黑、被入侵、被改标题、被挂黑链。

如何快速判断服务器是否被恶意入侵

而国内 *** 很大一部分的垃圾流量（恶意CC攻击、ddos攻击、垃圾邮件、垃圾弹窗广告等）也都是以这类被盗用入侵的IDC产品为土壤而滋生的。

由此可见，对于自身的IDC产品做好安全防护及快速的故障排查是一个相当有必要的事情。不仅能提高自身产品的附加价值。提高产品的利用率。提升品牌形象，更能给客户一个良好的服务面貌。

在此，笔者对常见的托管租用使用windows server

之一步、检查系统组及用户

我的电脑——右键管理——本地用户和组——组

检查administrators组内是否存在除开管理员用户账号（默认为administrator）以外的其他用户账号

检查users组内是否存在非系统默认账号或管理员指定账号

本地用户和组——用户

检查是否存在未做注释或名称异常的用户

一般由于软件后本被入侵的服务器都会在administrators组内添加一个admin$或相类似的用户，一旦发现该类用户就应该首先避免运行任何程序，停止所有服务并及时使用杀毒软件对服务器关键区域（启动驻存、C盘

系统文件夹 用户自定义文件夹）进行完整扫描，避免木马的二次交叉感染。

第二步，检查管理员账户是否存在异常的登陆和注销记录

我的电脑——右键管理——事件查看器——安全性

筛选所有事件ID为576和528的事件（576为系统登陆日志 528为系统注销日志）

查看具体事件信息内容。内容内会存在一个登陆IP。检查该IP是否为管理员常用登陆的IP(ip138 你懂的)

第三步、检查服务器是否存在异常的登陆启动项

开始菜单——所有程序——启动

该目录在默认情况下应该是一个空目录，但是如果出现一个异常的.bat程序的话就应该全盘扫描服务器以确认服务器安全性

开始菜单——运行msconfig启动菜单栏中是否存在命名异常的启动项目，例如A.EXE

XXXXI1SU2.EXE等，一旦发现全盘扫描服务器以确认服务器安全性

开始菜单——运行regedit

hkey_current_user—software—micorsoft—windows—currentversion-run

hkey_current_machine—software—micorsoft—windows—currentversion-run

检查以上2个项目下是否存在异常

一般情况下如果以上3个步骤检查不存在异常的话基本就可以判定服务器的安全环境是无故障的