服务器被攻击了,多了个用户,怎么查不后门，怎么查呢?

我的服务器被攻击了,多了个用户,怎么查不后门，怎么查呢?

我来回答服务器安全，一般都是采用软件辅助+手工服务的安全设置，有钱人都是买好几W的硬件来做服务器安全。但是对于我一个小小的站长，哪能承受的了。一年的服务器托管才5000多，建议你找专业做服务器安全的公司或者团队，来给你做服务器安全维护。安全这问题，很重要，我上次就是为了省钱，在网上搜索了一些服务器安全设置的文章，对着文章，我一个一个的设置起来，费了好几天的时间才设置完，没想到，服务器竟然瘫痪了，网站都打不开了，也最终明白了，免费的东西，也是最贵的，损失真的很大，数据库都给我回档了，我哪个后悔啊。娘个咪的。最后还是让机房把系统重装了，然后找的sine安全公司给做的网站服务器安全维护。

查被修改，创建的文件

在命令模式下删除 1.你在ms-dos下先输入net user 看有那些用户， 注意第一步看不出隐藏的用户 2. 然后在输入net localgroup administrators 或者 net localgroup users 说一下第2步是看出隐藏用户属于那个组，你明白我的意思吗？ aministrators和users 是组，我们以组的名义查看，一目了然！~隐藏用户出现了。 在注册表中删除 去注册表里删除你在注册表下，打开你的sam把里面的东西删除!再在用户管理面中把这个帐号删除掉!hkey_local_machinesamsamdomainsaccountusers 使用regedit打开注册表编辑器 找到[hkey_local_machine]——[sam]——[sam]——[domains]——[account]——[users]，这里下面的数字和字母组合的子键是你计算机中所有用户帐户的sam项。 子分支[names]下是用户名，每个对应上面的sam项。 查找隐藏的帐户就比较两个用户名的sam值完全一样的就说明其中一个是克隆帐户。你可以在这里删除其用户名。 一般推荐分别导出用户名项和对应的sam，然后找一个关键字分析比较。具体比较的方法多种多样自己看了。 目前有种系统级后门，可以在有管理员帐户登入的时候自动删除这里的克隆帐户值，等你退出了又自动恢复。遇到这种的情况，这里是查不出来的。一般这种后门都是高手搞的，免杀。 遇到这种情况，建议找专业安全人员处理。 另外：本地安全策略——本地策略——安全选项中可以查看默认管理员和贵宾帐户，这里可以查出默认的guest是否被克隆了，如果这个帐户被克隆这里会显示出真正的克隆后的用户名。