系统操作和维护

剧情是这样的。

* *你在吗？Windows server cpu利用率已经达到100%**

回答：是的。

* *帮我看看？**

回答：很好。

* *好像是挖矿病毒，被查杀自动生成* *

回答：远程看一下。

**TeamViewer**

ID和密码已经发送。

这里重申一下为什么用TeamViewer而不用QQ；

同样的网络环境下，qq远程卡不行，TeamViewer会流畅很多！

* *先附上几张中毒的图片：* *

开始解决问题

一眼望去，桌面上有XX杀毒软件。经检测扫描，未发现病毒，启动项未发现异常。* *乖乖，病毒已经对XX杀毒软件* *免疫了，不要震惊，这太正常了。

正式进入解题环节。

1.下载360安全卫士，一定是离线安装包，复制到服务器。

2.安装后，立即进行全面体检。

3.***杀人

4.加速优化启动项，优化无用的启动项，以及你认为的病毒项(当然如果是病毒会有提示；但是，有些病毒依赖于您的程序在启动时启动。最好在所有杀毒期间禁用所有非系统启动应用！)

5.保安内部的系统维修

6.安装在功能百科：防黑加固和系统急救箱(如果系统无法上线，单独下载断开系统的急救箱，上传到windows系统)。

7.修改管理员密码，密码不多，关键在于复杂！比如12346789、1qaz2wsx、1234@qwer等密码，早就出现在爆破词典里了。

8.将管理员的管理员名称重命名为另一个名称。

9.当然，您也应该禁用来宾用户和所有其他您不认识的用户。

10.运行反黑强化：立即检测。通常会检测到以下项目：

1.关闭默认的windows系统共享隐藏目录。

2.检查管理员密码是否复杂，容易被破解。系统会提示您输入密码，此处忽略。

3.它会检测远程桌面是否打开吗？您可以关闭遥控器，稍后手动打开。或者分笔成交点没有优化。

11.运行系统的急救箱，进行整体查杀。

* *这些步骤可以同步！**

12.将系统默认的远程端口号修改为另一个端口范围：65535以内(不要临时使用系统和应用服务的端口号！)。* *顺便说一句，千万不要把它改成同一个数字：例如1111**

远程端口号修改步骤如下：

1.打开“开始运行”，输入“regedit”，回车打开注册表，点击：[HKEY _本地_机器\ \ \系统\ \ \ \当前控制集\ \控制\ \ \终端服务器\。Tcp]，找到端口号，双击，然后单击Decimal。您可以看到端口号的默认值是3389，您可以将其修改为所需的端口。

2.打开[HKEY本地机器\ \ \系统\ \ \当前控制集\ \ \控制\ \ \终端服务器\ \ \ Winstations \ \ \ RDP-TCP]，找到端口号。双击。

注意：步骤1和步骤2的端口号应该相同！

13.windows防火墙添加远程端口号的入站策略。

14.回头看看步骤1到5。测试完成后，可以一键处理。

正常情况下：此时可以打开任务管理器，结束cpu 100%%u7684进程，因为其母病毒已经被杀死。如果你杀死它，你就不会产生病毒。

此时，一般机器的cpu利用率会恢复正常，但为了安全起见，要进行下一步！

15.等待系统急救箱击杀后，会提示系统重启；重启后会再次启动系统急救箱，然后轻微扫描后重启系统；在系统启动会上，急救箱会提示问题是否解决。

16.检查任务管理器，查看cpu是否正常。如果不正常，继续上述操作即可。

(* *注：部分* * *文件需要网络持续生成，杀毒时可以禁用网卡或断开网络。**)

Windows安全提醒

随便装个**360安全卫士。如果内存足够，装个360杀毒。

不要安装其他任何杀毒软件。如果你安装太多，他们会打架！

最后，不穿金刚钻就不要裸奔！

安装windows系统后：

修改复杂密码，修改默认端口，安装杀毒软件。

解释一般* * *服务器的原理。

1.使用相关软件扫描系统的默认端口号：

(端口号：当然是一个端口，通过它你可以登录系统，然后获得做其他事情的权限。比如：3389，3306，linux 22等。)

那他们怎么知道你的IP？

其实每个* * *都有n个ip地址段文件。这是无法避免的。

2.扫描到默认端口号。(每个用户都会有一个n个账号和密码的字典文件。)

3.使用帐户和密码字典循环匹配登录系统。

4.匹配成功后，会有一个自动化脚本将生成的* * *文件自动上传到系统的一些敏感路径，比如：C: \ \ \ Windows \ \ \ System32目录。

并且将设置自动任务。

5.***文件复制完成后。一般来说，启动A***文件，然后生成其他系统文件名相似的B***文件来做坏事。

6.然后一开始启动的A***文件只是不停的检查B***文件是否正在执行，cpu小到几乎看不到。

7.而且你看到的CPU利用率是100%% U7684文件是B***文件。于是你杀了B***文件，发现它是短时间内自动生成的。

8.有些病毒甚至嵌套许多层。

9.大概就是这样。

更多关于云服务器，域名注册，虚拟主机的问题，请访问西部数码代理官网：www.chenqinet.cn。