一，排查思路

1.排查系統運行情況
 結合用戶反映的故障現象，排查相關進程（例如，故障現象為資源占用率高，則排查占用資源較多的進程；故障現象為網絡帶寬占用較多，則排查網絡連接較多的進程）。重點排查進程所關聯的文件、啟動進程的賬戶等信息。

2.排查系統運行環境
 通過排查系統啟動項、計劃任務、系統服務啟動等情況，排查可疑程序自動拉起的信息，為阻止惡意程序自運行提供依據。

3.排查攻擊來源
查看登錄記錄，排查是否存在遠程暴力破解行為、是否有不明IP登錄系統，系統內是否出現不明賬戶

二，常見安全入侵排查

(一)挖礦病毒

1.故障現象
CPU占用率接近100%。

2.排查思路
確認占用CPU資源的進程，分析該進程對應的程序，查找可疑文件，并根據文件內容確認是否為挖礦程序。

3.排查過程
在任務管理器中查看進程列表，確認占用CPU資源的主要進程。

查找該進程關聯的程序。

xmrig是典型的門羅幣挖礦程序，可通過其同目錄下的“start.cmd”文件查看挖礦參數。其參數說明如下：-o礦池地址和端口號；-u賬戶地址；-p密碼。

4.解決方法

停用惡意進程、刪除惡意程序、檢查自啟動項目和計劃任務、檢查系統內可疑賬戶、為遠程登錄賬戶設置強口令、通過安全組對遠程訪問的IP地址進行限制。

(二)勒索病毒

1.故障現象
大量文件被加密，無法正常打開。

2.排查過程
登錄主機側，確認故障現象。

3.解決方法

尋求第三方專業解密公司進行數據恢復，或直接重裝系統，并進行加固后，再部署業務系統。

(三)系統加固操作建議

1.為賬戶設置高強度口令
 在“控制面板”->“用戶賬戶”中選擇需要設置/修改口令的賬戶，選擇“更改密碼”，然后在彈出的界面中輸入新口令即可。

【密碼設置原則】
1）不要使用弱密碼、默認密碼。
2）不要在多主機、多系統使用同一個密碼。
3）不要長期使用固定密碼，定期或者不定期修改密碼，安全更有保障。
4）最好不要把密碼保存在電腦、U盤、筆記本、書籍等上面，如果保存要采取安全保護措施。

【高強度口令需滿足如下要求】
1）密碼長度不少于10位，且至少包含大寫字母、小寫字符、數字、特殊字符4類中的3種；
2）不要使用有一定特征和規律容易被破解的常用口令的密碼，如在常用彩虹表中的密碼、滾鍵盤密碼、含賬戶名的密碼、含連續數字或字母的密碼等。（如：!QAZxsw2，qazxsw，1qaz@WSX，1q2w3e，123456789，password……）
3）避免使用生日、電話號碼、身份證號碼、QQ、郵箱等與個人、單位信息有明顯聯系的數據。

2.修改遠程登錄端口
 在注冊表編輯器“HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\ontrol\TerminalServer\Wds\rdpwd\Tds\tcp\”路徑下找到PortNamber 鍵，改為要使用的遠程端口。建議修改為4位數端口號。（說明：在win10 系統中CurrentControlSet已經變更為CurrentControlSet001），修改完畢后，重啟云主機，配置即可生效。

3.通過本機防火墻進行外聯控制
1）限制允許遠程訪問本機的IP地址范圍，在Windows系統本機防火墻的“入站規則”中，找到RPC相關條目，在編輯條目的界面中可以添加允許訪問的IP地址。
 2）限制本機開放的端口，在Windows系統本機防火墻中，可通過新建規則，設定允許開放的端口范圍。