Cómo determinar rápidamente si el servidor está intrusiones maliciosas

me las arreglé para alquilar para uso común de servidores de Windows Server System y VPS de intrusiones maliciosas, y cómo solucionar intrusiones maliciosas hacer una simple descripción proporciona un soluciones sencillas y apropiadas.

el primer paso, comprobar el grupo de sistema y de usuario
Mi PC y mdash; — gestión y mdash derecho; — Usuarios y grupos locales y mdash; — grupo

inspección interna grupo de administradores hay otras cuentas de usuario, excepto la cuenta de usuario administrador por defecto es abierta (administrador) de. Si existe un administrador de sistema no especifica la cuenta predeterminada o cuentas antes de

Comprobar el grupo de usuarios.

usuarios y grupos locales y mdash; —
usuario

sin hacer notas o comprueba si hay un nombre de usuario de la excepción.

Después de que el software es generalmente debido a la invasión de este servidor añade un administrador $ o usuario similar en el grupo de administradores, una vez que encontramos estos usuarios deben en primer lugar para evitar algún programa en ejecución, detenga todos los servicios y antivirus uso oportuno software de servidor para las áreas críticas (inicio residente, C carpeta de sistema de disco carpeta personalizada) exploración completa, para evitar la infección cruzada troyanos secundaria.

El segundo paso, para comprobar si hay registros de conexión y desconexión de Administrador de cuenta anormal
Mi PC y mdash; — &mdash gestión correcta; — &mdash Visor de sucesos; — la seguridad

Todos los eventos ID 576 y 528 eventos de detección (576 a 528 sistema registra los registros de cierre de sesión para los sistemas de aterrizaje) ver contenido de suceso específico. Habrá un aterrizaje dentro del contenido de PI. Compruebe que la dirección IP es una dirección IP de inicio de sesión común administrador.

El tercer paso es comprobar si el servidor está elementos de inicio de aterrizaje anormal
menú de inicio y mdash; — todos los programas y mdash; —
empezar

El directorio predeterminado debe ser un directorio vacío, pero si se produce una excepción, entonces el programa .bat debe ser servidor de exploración exhaustiva para confirmar la seguridad del servidor.

Menú Inicio y mdash; — si no han puesto el nombre inusual de ejecución proyecto de inicio

msconfig

Start barra de menú, por ejemplo A.EXE XXXXI1SU2.EXE, etc., si se encuentra en general servidor de exploración para confirmar la seguridad del servidor.

Inicio y mdash; — ejecutar

regedit

HKEY_CURRENT_USER — ventanas — software — Micorsoft — ventanas —
CurrentVersion a ejecutar

HKEY_CURRENT_MACHINE — software — Micorsoft — CurrentVersion a ejecutar
si existe una anomalía en el

comprobar dos o más elementos.

En general, si tres o más pasos para verificar si no hay anomalía puede ser determinado entorno de servidor seguro es sustancialmente libre de fallos.