一、排查思路

本排查遵循“先全面核查、再处置清理、最后加固闭环”的核心思路，优先按“进程→文件→注册表→账户→网络→漏洞”的维度深挖入侵痕迹，同步聚焦挖矿、勒索等核心风险场景，全程留存排查快照与日志，为溯源和复盘提供依据。排查过程中需避免误操作触发恶意程序自毁或扩散，关键步骤优先使用权威工具验证。

二、入侵风险专项排查

2.1 挖矿病毒专项排查

挖矿病毒核心特征为占用大量CPU/GPU资源、后台连接矿池地址，常伪装成系统进程或第三方程序，排查操作如下：

1. 资源占用核查：

   a. 打开任务管理器（Ctrl+Shift+Esc），查看“性能”页签，若CPU使用率持续80%以上、GPU负载异常偏高，且无对应高负载业务进程，判定为可疑。

   b. 排序CPU/GPU占用率，重点关注进程名伪装情况（如“System32.exe”“svchosts.exe”，注意多字母、错写混淆），选择进程右键查看“打开文件所在的位置”，若路径为临时目录（如C:\Windows\Temp、C:\Users\Public），直接判定为恶意进程。

2. 矿池连接与端口排查：

   a. 在cmd命令行窗口中执行命令netstat -ano，查看下服务器是否有未被授权的端口被监听，是否有连接到非标准端口（如 4444, 3333, 8888, 5555）的远程 IP，记录对应的PID。

   b. 通过任务管理器，找到PID相关联的进程（任务管理器“详细信息”页签可查看PID）， 查看进程所在文件路径，判断是否异常进程。

3. 文件与自启排查：

   a. 在系统盘目录C:\ 按照最近修改时间排序文件和目录，查看近期被改动的文件和目录，尤其关注在中毒故障发生时的文件变动，判断是否正常的系统文件、合法安装的三方软件以及业务应用。

   b. 检查常见藏匿目录：C:\Windows\Temp、C:\Users\Public、C:\Users\用户名\AppData\Local\Temp\、C:\ProgramData，关注以随机字符串命名、无图标、大小较小（几MB到几十MB）的可执行文件（.exe、.bat）。

c. 选择开始 > 运行，输入 msconfig，查看是否存在命名异常的启动项目，若存在则取消勾选命名异常的启动项目，并进入到命令中显示的路径删除文件。

4. 文件完整性检查

   对可疑文件，执行 certutil -hashfile C:\Windows\System32\svchosts.exe，将计算的MD5值与同版本纯净系统的对应命令MD5值对比（可从官方镜像或正常服务器获取），若不一致则判定为命令被篡改，可能植入恶意代码。

   也可以将md5值在微步云沙箱（https://s.threatbook.com/）进行分析。

注：如果发生了病毒入侵导致任务管理器无法正常打开，可以使用微软官方提供的工具进行排查， Process Explorer 工具 替代 任务管理器， TCPView 替代 netstat，提供了可视化的查询功能， Autoruns查看“计划任务”“登录项”。 上述工具的安装使用参考 “ 附：三方排查工具安装与使用指导 ”。

5. 计划任务检查

   运行 taskschd.msc，检查是否有名称可疑的任务（如一串随机字符、或者模仿 Windows 更新的任务），其执行脚本通常是 .bat、.vbs 或 powershell。

2.2 勒索病毒专项排查

勒索病毒核心特征为加密文件、修改后缀名、生成勒索提示文档，排查操作如下：

1. 文件加密特征核查：

   a. 查看业务目录、用户文档目录（如桌面、我的文档），若文件后缀被修改（如修改为.lock、.locked、.crypto、.mallox），且无法正常打开，判定为可能感染勒索病毒。

   b. 搜索全盘文件（一般会在桌面或者磁盘根目录下），查找名称为README.txt，README.html，DECRYPT_FILES.html等勒索提示文档，文档通常包含加密说明、比特币支付方式、联系方式等内容。

2. 进程与磁盘I/O排查：

   a. 性能异常：CPU 或磁盘占用率无故飙升，通过Process Explorer查看CPU，磁盘I/O占用高的进程，勒索病毒加密文件时会伴随大量磁盘读写操作，重点关注无合理业务用途、访问多目录文件的进程。

   b. 安全管理工具失效：任务管理器被禁用、杀毒软件无法打开或防护实时关闭。

2.3 注册表篡改排查

恶意程序常通过篡改注册表实现自启动、禁用安全工具、隐藏文件等目的，排查操作如下：

1. 关键注册表项核查：
   按下Win+R输入regedit打开注册表编辑器，重点检查以下路径：

   • 自启项：检查以下位置，删除无合理描述、指向可疑文件的键值。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run、 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • 禁用安全工具：若存在“DisableAntiSpyware”键值且数据为1，说明Windows Defender被禁用，需删除该键值并重启Defender HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender
   • 文件隐藏：若“CheckedValue”数据不为1，说明隐藏文件设置被篡改，修改为1即可恢复显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL，

2. 注册表备份与恢复准备：

   排查前备份注册表：注册表编辑器中点击“文件”→“导出”，选择保存路径并命名，为后续处置过程中可能的误操作预留恢复依据。

3. WMI 订阅：这是目前最隐蔽的手段。病毒可能在 WMI 库中写入定时脚本。

   使用微软 Autoruns 工具，切换到 "WMI" 和 "Scheduled Tasks" 选项卡搜索紫色或红色高亮的未知项。

2.4 任务管理器无法打开排查

任务管理器无法打开多为恶意程序通过注册表、组策略或病毒劫持导致，排查操作如下：

1. 注册表修复法：

   a. 打开注册表编辑器，定位至HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System，若存在“DisableTaskMgr”键值且数据为1，右键删除该键值，重启电脑后即可恢复。

   b. 若上述路径无对应键值，检查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System，重复上述操作。

2. 组策略修复法（专业版/企业版系统）：
   按下Win+R输入gpedit.msc，依次展开“用户配置”→“管理模板”→“系统”→“Ctrl+Alt+Del选项”，双击“删除任务管理器”，设置为“未配置”或“禁用”，点击“确定”即可。
3. 替代工具应急：若上述方法无效，直接运行Process Explorer替代任务管理器，排查并终止恶意进程后，再尝试修复任务管理器。

2.5 隐藏账户排查

1. 异常账户排查

   检查服务器内是否有非系统和用户本身创建的账户，打开 cmd 窗口，输入lusrmgr.msc命令，查看是否有新增的账户，如非用户主动创建，请立即禁用或删除掉。

2. 隐藏账户排查

   常规的“设置”界面可能无法看到隐藏账户，攻击者通常在 SAM 注册表项下克隆管理员权限。

   打开注册表：Win + R 输入 regedit，导航到HKEY_LOCAL_MACHINE\SAM\SAM，右键选择 权限，选择 Administrators 组，勾选“完全控制”，点击确定。

   重新定位：按 F5 刷新，现在你可以展开 SAM\Domains\Account\Users\Names。

   对比排查：

   • 这里列出了系统中所有真实存在的账户。
   • 异常特征：如果 Names 下出现的名称在 lusrmgr.msc 或“控制面板”中找不到，那么它就是一个典型的隐藏后门。

三、基础维度全面排查

3.1 权限与弱口令排查

1. 弱口令与权限排查：

   a. 检查管理员账户密码强度：确保密码长度≥12位，包含大小写字母、数字、特殊符号，避免使用“123456”“Admin@123”等弱口令，右键账户→“设置密码”可修改。

   b. 权限管控：删除不必要的管理员权限账户，普通业务账户仅分配对应业务权限，避免权限滥用。

   c. 远程桌面弱口令：若开启远程桌面（3389端口），排查是否存在允许远程登录的弱口令账户，建议修改远程桌面默认端口，限制登录IP。

2. 可疑登录记录排查：
   打开事件查看器，筛选安全日志中事件ID为4624（登录成功）、4625（登录失败），重点关注非工作时间、陌生IP的登录记录，若存在多次登录失败后成功的记录，可能为暴力破解。

3.2 恶意进程与端口排查

1. 恶意进程深度排查：
   运行Process Explorer，点击“View”→“Select Columns”，勾选“PID”“Image Path”“Command Line”“DLLs”，按CPU、内存占用排序：

   a. 排查进程路径：系统进程通常位于C:\Windows\System32、C:\Windows\SysWOW64，若进程路径为临时目录、用户目录，且无对应系统功能，判定为可疑。

   b. 排查加载的DLL：双击进程→“DLLs”页签，查看是否加载陌生DLL文件（非系统默认、非业务程序依赖），若存在可右键“Properties”查看DLL路径和数字签名，无签名或签名异常则为恶意DLL。

   c. 终止恶意进程：右键可疑进程→“Kill Process”，若无法终止（提示“拒绝访问”），先通过Autoruns禁用对应自启项，重启电脑后再终止。

3.3 第三方软件漏洞排查

第三方软件漏洞（如Java、Adobe、浏览器、数据库）是入侵常见入口，排查操作如下：

1. 软件版本与漏洞核查：

   a. 检查已安装软件：“控制面板”→“程序和功能”，列出所有第三方软件，重点核查:

   • 老旧版本软件：如Java 8以下、Adobe Flash Player（已停止支持）、未更新的浏览器（Chrome、Edge），此类软件存在已知高危漏洞，需立即更新或卸载。
   • 无业务用途软件：卸载冗余软件（如娱乐软件、破解工具），减少攻击面。

   b. 数据库漏洞：若安装MySQL、SQL Server、Redis等数据库，检查是否存在弱口令、默认端口开放、未授权访问等问题：

   • MySQL/SQL Server：修改默认管理员密码，限制登录IP，禁用空密码账户，删除不必要的数据库权限。
   • Redis：若开启Redis服务，设置密码（修改redis.windows.conf文件中的“requirepass”），禁止远程登录，关闭危险命令。

2. 漏洞修复措施：

   a. 开启软件自动更新：在软件设置中开启自动更新，或通过服务器管理工具批量推送更新。

   b. 安装漏洞补丁：通过“设置”→“Windows更新”，安装系统及微软组件漏洞补丁；第三方软件通过官方渠道下载最新版本覆盖安装。

四、解决方案与安全处置

4.1 紧急隔离处置

1. 断开网络连接：

   立即禁用服务器网卡（右键“此电脑”→“管理”→“设备管理器”→“网络适配器”，禁用对应网卡），防止病毒扩散至内网其他设备。

2. 暂停可疑服务：

   按下Win+R输入services.msc，暂停排查中记录的名称异常、无合理描述或近期新增的服务，避免恶意程序持续运行。

3. 备份关键数据：

   若未感染勒索病毒，优先备份业务核心数据（如磁盘快照)，备份前需通过杀毒工具扫描，避免备份带毒；若已感染勒索病毒，留存加密文件样本和勒索提示文档后再备份。

4.2 恶意程序清理处置

1. 终止恶意进程：

   通过 Process Explorer 针对排查记录的可疑PID，右键进程→“Kill Process”终止进程，若无法终止（提示“拒绝访问”），先通过Autoruns禁用对应自启项，重启电脑后再终止；必要时终止关联线程（双击进程→“Threads”页签→右键可疑线程→“Kill Thread”）。

2. 删除恶意文件：

   定位排查记录的恶意进程路径、可疑DLL文件及临时目录中的恶意可执行文件，逐一删除并清理回收站；若文件无法删除（提示“正在使用”），重启电脑进入安全模式后删除。

3. 清理注册表残留：

   删除恶意程序对应的注册表键值，修复排查中发现的被篡改注册表项（如自启项、安全工具禁用配置），确保无自启残留。

4. 杀毒扫描验证：

   运行Windows Defender或第三方杀毒软件，执行全盘扫描，清除残留恶意文件和病毒，扫描完成后留存扫描报告。

4.3 系统重装（高危入侵场景）

当服务器存在以下情况时，建议直接重装系统，确保彻底清除病毒：

1. 感染勒索病毒，核心文件被加密且无备份，无法解密。
2. 注册表被大面积篡改，系统稳定性受损，无法逐一修复。
3. 存在内核级木马，Process Explorer等工具无法检测或终止，清理后反复出现异常。
4. 服务器权限被完全控制，存在大量未知恶意文件和隐藏进程，溯源困难。

重装注意事项：重装前备份重要数据，重装后优先安装系统补丁和安全工具，配置安全组、防火墙和账户权限，再部署业务环境，避免未加固即暴露在网络中。

4.4 安全加固措施

4.4.1 账户与权限加固

1. 清理异常账户：

   删除排查中记录的恶意隐藏账户、名称异常账户，禁用“Guest”账户，重命名“Administrator”账户以规避暴力破解。

2. 强制密码策略：

   通过“组策略”→“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“密码策略”，固化密码长度≥12位、密码复杂度要求、密码过期时间（90天）、历史密码禁止重复等规则。

3. 调整权限分配：

   回收不必要的管理员权限，为普通业务账户分配最小化业务权限，避免权限滥用。

4. 强化远程登录：

   修改远程桌面默认端口3389为10000以上随机端口，在防火墙中限制仅允许指定办公IP访问，禁用弱口令账户的远程登录权限。

5. 强化账户审计：

   定期核查本地用户和组，及时清理无用账户，开启账户登录审计日志，便于追溯异常登录行为。

Windows操作系统安全加固可参考：Windows操作系统安全加固

4.4.2 端口与网络配置处理

1. 收紧安全组规则：

   仅开放业务必需端口，限制端口访问IP段（如3389端口仅允许办公IP访问，6379仅开放内网访问），关闭所有不必要的出站端口。

2. 修改默认端口：

   将远程连接默认端口3389修改为10000以上的随机端口。

3. 优化防火墙配置：

   启用Windows防火墙，仅开放业务必需端口（如80、443、自定义远程端口），禁用所有不必要端口的入站、出站规则，设置防火墙日志留存至少30天。

4. 关闭无用服务：

   通过“services.msc”禁用无业务用途的服务（如Telnet、FTP、Remote Registry），减少攻击入口。

4.4.3 系统与软件加固

1. 开启自动更新：

   保持Windows系统及第三方软件自动更新开启，定期检查补丁安装情况，确保无高危漏洞遗漏。

   卸载排查记录的冗余软件、高危老旧版本软件，通过官方渠道下载安装第三方软件最新版本。

2. 加固注册表：

   通过组策略限制普通用户修改注册表权限，禁止恶意程序篡改系统核心配置。

3. 数据库漏洞修复：

   修改数据库弱口令，限制登录IP，禁用空密码账户，删除冗余权限，关闭Redis等数据库的危险命令，禁止未授权远程访问。

4.4.4 安全工具部署与运维

1. 部署安全防护工具：

   安装Windows Defender或第三方安全软件，开启实时防护和每日全盘扫描；

   接入云安全中心（如漏洞扫描，病毒查杀，防勒索等），定期扫描恶意文件。

2. 建立备份机制：

   采用“本地+云端”双重备份策略，云端每日快照备份核心数据，每周验证备份文件可用性，避免勒索病毒造成不可逆损失。

3. 留存排查工具：

   将Process Explorer、Autoruns、TCPView等工具留存至服务器固定目录，便于后续应急排查时快速使用。

4. 规范运维操作：

   避免使用弱密码，禁止在公共网络下远程登录服务器，运维操作后及时退出账户，定期更换账户密码和SSH密钥。

五、排查总结与溯源

排查完成后，整理排查记录（包括恶意进程信息、文件路径、注册表篡改项、登录记录、网络连接日志等），分析入侵根源（如弱口令暴力破解、第三方软件漏洞、U盘带毒等），形成排查报告。针对根源优化加固措施，定期开展安全排查（建议每周一次），防范同类入侵事件复发。若入侵造成严重损失，留存所有证据（恶意文件样本、日志、快照），联系安全厂商或公安机关协助溯源。

附：三方排查工具安装与使用指导

一、Process Explorer（进程分析工具）

用途：替代系统任务管理器，可查看进程加载的DLL文件、线程信息、句柄关联，精准定位隐藏恶意进程。

1.1 安装步骤

官方下载链接：Process Explorer，下载后解压直接运行（无需安装，支持32/64位系统）。

1.2 基础使用方法

1. 进程定位：

运行procexp.exe，界面默认按CPU占用排序，红色标注的进程通常为异常进程，可通过“Find”→“Find Handle or DLL”搜索可疑进程名、文件路径，快速定位关联进程。

2. DLL与句柄核查：

双击进程→“DLLs”页签，查看加载的所有DLL文件，右键DLL可查看属性、定位文件路径；“Handles”页签可查看进程关联的文件、注册表、网络句柄，排查恶意关联。

3. 进程终止：

右键可疑进程→“Kill Process”，若提示“无法终止”，可尝试“Kill Process Tree”终止进程及关联子进程。

二、Autoruns（自启项管理工具）

用途：排查系统自启动项、计划任务、服务等，清理恶意自启配置，从源头阻止恶意程序开机运行。

2.1 安装步骤

官方下载链接：Autoruns，解压后直接运行，支持32/64位Windows系统。

2.2 基础使用方法

1. 自启项筛选：

运行Autoruns，默认显示所有自启项（登录项、计划任务、服务、驱动等），勾选“Hide Microsoft Entries”隐藏系统默认项，仅显示第三方自启项，便于排查恶意配置。

2. 清理恶意自启：

右键可疑自启项→“Delete”，即可删除对应配置，建议删除前先“Disable”禁用，验证系统无异常后再彻底删除。

三、TCPView（网络连接监控工具）

用途：实时监控服务器网络连接及对应进程，精准定位异常端口、矿池连接、境外可疑IP连接，辅助排查网络层面入侵痕迹。

3.1 安装步骤

官方下载链接：TCPView，无需安装，解压后根据系统位数运行对应程序。

3.2 基础使用方法

1. 连接筛选：

运行TCPView，可按“状态”“PID”“远程IP”筛选，重点关注“ESTABLISHED”状态的境外连接，右键连接→“Process Properties”可查看对应进程详情。

2. 终止连接：

右键可疑连接→“Close Connection”，可直接断开网络连接，配合终止进程操作彻底清理恶意连接。

四、Process Monitor（进程行为监控工具）

用途：实时监控进程的文件操作、注册表访问、网络请求等行为，溯源恶意程序的入侵路径、破坏动作，为精准清理提供依据。

4.1 安装步骤

官方下载链接：Process Monitor，解压后直接运行，支持Windows全系列服务器系统。

4.2 基础使用方法

1. 监控筛选：

运行Process Monitor，默认监控所有进程的文件、注册表、网络操作，可通过“Filter”设置筛选条件（如进程名、操作类型），精准定位恶意程序行为。

2. 行为溯源：

通过监控结果查看可疑进程的文件创建、注册表修改、网络连接等操作，追溯恶意程序的入侵路径和破坏行为，为清理处置提供依据。

五、Windows Defender/第三方杀毒工具

用途：扫描并清除服务器中的恶意文件、病毒、木马程序，验证清理效果，防范二次感染。其中Windows Defender为系统自带，无需额外安装；第三方工具推荐卡巴斯基、火绒安全软件，适配服务器场景的防护需求。

5.1 基础使用方法

1. 全盘扫描：

   打开Windows Defender，进入“病毒和威胁防护”→“扫描选项”，选择“全盘扫描”，耐心等待扫描完成；

   第三方工具按对应指引开启深度扫描，重点扫描临时目录、用户公共目录。

2. 结果处理：

   针对扫描出的恶意文件，选择“隔离并删除”，避免手动删除残留；扫描完成后留存报告，作为排查总结的佐证材料。