對于主機(jī)是否被入侵問題，很多時候運維人員并不知曉。只有當(dāng)黑客采取破壞行為，造成了肉眼可見的損失后，運維人員才能發(fā)現(xiàn)，例如網(wǎng)站被劫持、篡改，服務(wù)器被勒索、刪除數(shù)據(jù)等惡意破壞操作。作為優(yōu)秀的運維人員，應(yīng)當(dāng)定期對服務(wù)器進(jìn)行安全檢查，及時發(fā)現(xiàn)入侵攻擊事件。

那么如何檢查服務(wù)器是否被入侵攻擊呢？

其實不難，護(hù)衛(wèi)神建議從以下方面進(jìn)行檢查：系統(tǒng)賬戶、系統(tǒng)日志、系統(tǒng)進(jìn)程、系統(tǒng)服務(wù)、IIS程序池、IIS組件。

1、 系統(tǒng)賬戶

黑客入侵后，一般都會創(chuàng)建自己的管理賬戶，或是將GUEST賬戶啟用并提權(quán)為管理員。

因此我們首先到系統(tǒng)賬戶處檢查是否有可疑賬戶。不過對于影子賬戶肉眼無法看見，可以通過網(wǎng)上的一些教程進(jìn)行判斷（比較復(fù)雜，且需要逐個賬戶肉眼檢查）。

2、 系統(tǒng)日志

系統(tǒng)日志主要分析遠(yuǎn)程登錄日志。如果黑客沒有清理日志，可以從系統(tǒng)日志提取到黑客登錄時間和登錄IP。同樣的，需要肉眼逐條查看，有點耗費精力。

3、 系統(tǒng)進(jìn)程

查看正在運行的系統(tǒng)進(jìn)程是否有可疑進(jìn)程，這步操作要求運維人員對主機(jī)常有的進(jìn)程有一定的了解。

4、 系統(tǒng)服務(wù)

查看系統(tǒng)服務(wù)是否有可疑服務(wù)，尤其是已經(jīng)啟動和自動啟動的服務(wù)。需要運維人員對主機(jī)常有的系統(tǒng)服務(wù)有一定的了解。

5、 IIS程序池

主要檢查程序池是否以LocalSystem標(biāo)識啟動，如果以此標(biāo)識啟動程序池，那網(wǎng)站直接就有了系統(tǒng)最高管理權(quán)限，入侵輕而易舉。

6、 IIS組件

檢查是否植入了陌生組件，陌生組件一般都用于非法用途，例如劫持網(wǎng)站。需要運維人員對IIS常有組件有一定的了解。

總體而言，人工檢查服務(wù)器是否被入侵，是一項非常繁瑣的工作，而且稍不注意就會遺漏關(guān)鍵線索。建議使用《護(hù)衛(wèi)神.防入侵系統(tǒng)》的“安全巡檢防護(hù)”替代人工檢查（如下圖一），軟件定期自動安全巡檢，有問題及時通知管理員，非常方便。

（圖一：主機(jī)安全巡檢防護(hù)）

如上圖所示，設(shè)置每隔24小時巡檢一次系統(tǒng)，巡檢范圍非常廣泛，涉及：系統(tǒng)文件、系統(tǒng)服務(wù)、網(wǎng)站安全、PHP安全、功能角色、系統(tǒng)組件、系統(tǒng)用戶、系統(tǒng)進(jìn)程、注冊表、其他。

當(dāng)發(fā)現(xiàn)異常時，立即向管理員發(fā)送消息通知（短信、微信和郵件三種方式），如下圖二：

（圖二：主機(jī)安全事件預(yù)警）

有了《護(hù)衛(wèi)神.防入侵系統(tǒng)》，安全運維服務(wù)器是不是變得非常輕松了？

再也不需要人工肉眼檢查服務(wù)器是否被入侵了，全自動化操作，并且檢查得還更仔細(xì)。

如果你也有此需求，趕緊部署吧。