一，排查思路

1.排查系统运行情况
结合用户反映的故障现象，排查相关进程（例如，故障现象为资源占用率高，则排查占用资源较多的进程；故障现象为网络带宽占用较多，则排查网络连接较多的进程）。重点排查进程所关联的文件、启动进程的账户等信息。

2.排查系统运行环境
通过排查系统启动项、计划任务、系统服务启动等情况，排查可疑程序自动拉起的信息，为阻止恶意程序自运行提供依据。

3.排查攻击来源
查看登录记录，排查是否存在远程暴力破解行为、是否有不明IP登录系统，系统内是否出现不明账户

二，常见安全入侵排查

(一)挖矿病毒

1.故障现象
CPU占用率接近100%。

2.排查思路
确认占用CPU资源的进程，分析该进程对应的程序，查找可疑文件，并根据文件内容确认是否为挖矿程序。

3.排查过程
在任务管理器中查看进程列表，确认占用CPU资源的主要进程。

查找该进程关联的程序。

xmrig是典型的门罗币挖矿程序，可通过其同目录下的“start.cmd”文件查看挖矿参数。其参数说明如下：-o矿池地址和端口号；-u账户地址；-p密码。

4.解决方法

停用恶意进程、删除恶意程序、检查自启动项目和计划任务、检查系统内可疑账户、为远程登录账户设置强口令、通过安全组对远程访问的IP地址进行限制。

(二)，勒索病毒

1.故障现象
大量文件被加密，无法正常打开。

2.排查过程
登录主机侧，确认故障现象。

3.解决方法

寻求第三方专业解密公司进行数据恢复，或直接重装系统，并进行加固后，再部署业务系统。

(三)系统加固操作建议

1.为账户设置高强度口令
在“控制面板”->“用户账户”中选择需要设置/修改口令的账户，选择“更改密码”，然后在弹出的界面中输入新口令即可。

【密码设置原则】
1）不要使用弱密码、默认密码。
2）不要在多主机、多系统使用同一个密码。
3）不要长期使用固定密码，定期或者不定期修改密码，安全更有保障。
4）最好不要把密码保存在电脑、U盘、笔记本、书籍等上面，如果保存要采取安全保护措施。

【高强度口令需满足如下要求】
1）密码长度不少于10位，且至少包含大写字母、小写字符、数字、特殊字符4类中的3种；
2）不要使用有一定特征和规律容易被破解的常用口令的密码，如在常用彩虹表中的密码、滚键盘密码、含账户名的密码、含连续数字或字母的密码等。（如：!QAZxsw2，qazxsw，1qaz@WSX，1q2w3e，123456789，password……）
3）避免使用生日、电话号码、身份证号码、QQ、邮箱等与个人、单位信息有明显联系的数据。

2.修改远程登录端口
在注册表编辑器“HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\ontrol\TerminalServer\Wds\rdpwd\Tds\tcp\”路径下找到PortNamber 键，改为要使用的远程端口。建议修改为4位数端口号。（说明：在win10 系统中CurrentControlSet已经变更为CurrentControlSet001），修改完毕后，重启云主机，配置即可生效。

3.通过本机防火墙进行外联控制
1）限制允许远程访问本机的IP地址范围，在Windows系统本机防火墙的“入站规则”中，找到RPC相关条目，在编辑条目的界面中可以添加允许访问的IP地址。
2）限制本机开放的端口，在Windows系统本机防火墙中，可通过新建规则，设定允许开放的端口范围。