系統(tǒng)運(yùn)維 劇情是這樣的

**在嗎？windows服務(wù)器cpu利用率一直100%**
答曰：在
**幫忙給看看？**
答曰：好
**好像中的是挖礦病毒，病毒殺了，又自動(dòng)生成**
答曰：遠(yuǎn)程看一下吧。
**TeamViewer**
ID和密碼發(fā)過(guò)來(lái)了。

這里重申一下為什么用TeamViewer，而不是qq；
在一樣的網(wǎng)絡(luò)環(huán)境下qq遠(yuǎn)程就卡的不行，TeamViewer就順暢的多！

**先附幾張中毒的圖片：**

一看桌面有XX殺毒軟件，檢測(cè)掃描了一下竟然沒(méi)有發(fā)現(xiàn)病毒，啟動(dòng)項(xiàng)也沒(méi)有看到異常。。 **乖乖，病毒竟然對(duì)XX殺毒軟件 做過(guò)免疫了**，不要驚呆，這個(gè)太正常了。

1. 下載360安全衛(wèi)士，一定是離線安裝包啊，拷貝到服務(wù)器上。
2. 安裝完，立刻 360 全面體檢。
3. ***查殺
4. 啟動(dòng)項(xiàng)優(yōu)化加速，優(yōu)化沒(méi)用的啟動(dòng)項(xiàng)，和你認(rèn)為的病毒項(xiàng)（當(dāng)然如果是病毒，會(huì)提示出來(lái)的；但有的病毒是依賴(lài)你的程序啟動(dòng)在啟動(dòng)，所有殺毒期間最好，禁用所有非系統(tǒng)啟動(dòng)項(xiàng)的應(yīng)用！）
5. 安全衛(wèi)士里邊的系統(tǒng)修復(fù)
6. 到功能大全里邊安裝：防黑加固 和 系統(tǒng)急救箱（如果系統(tǒng)上不了網(wǎng)，單獨(dú)下載斷網(wǎng)系統(tǒng)急救箱上傳到windows系統(tǒng)）
7. 修改管理員administrator密碼，密碼不在于多，關(guān)鍵在于復(fù)雜程度！比如：12346789、1qaz2wsx、1234@qwer這些密碼早已經(jīng)出現(xiàn)在了爆破字典里邊。
8. 重命名管理員administrator名字為別的名字。
9. 當(dāng)然也要禁用Guest用戶，和其他你不認(rèn)識(shí)的所有用戶。
10. 運(yùn)行防黑加固： 立即檢測(cè)。一般會(huì)檢測(cè)以下幾項(xiàng)等：
        1. 關(guān)閉默認(rèn)的windows系統(tǒng)共享隱藏目錄
        2. 檢測(cè)管理員密碼是否復(fù)雜程度，容易被破解。會(huì)提示你輸入密碼，這里忽略不用輸入。
        3. 會(huì)檢測(cè)遠(yuǎn)程桌面是否打開(kāi)？可能會(huì)把遠(yuǎn)程給關(guān)閉，一會(huì)自己手動(dòng)開(kāi)啟即可?；蛘叽蜚^不優(yōu)化也行。
11. 運(yùn)行系統(tǒng)急救箱，全盤(pán)查殺。

**以上這些步驟都可以同步進(jìn)行?。?*

12. 修改系統(tǒng)默認(rèn)遠(yuǎn)程端口號(hào) 改成別的端口范圍：65535以內(nèi)（別暫用系統(tǒng)和應(yīng)用服務(wù)的端口號(hào)?。?。**對(duì)了千萬(wàn)別改成一樣的數(shù)字：如1111** 
        遠(yuǎn)程端口號(hào)修改步驟如下：
        1、打開(kāi)“開(kāi)始“→”運(yùn)行”，輸入“regedit”，按下回車(chē)鍵，打開(kāi)注冊(cè)表，依次點(diǎn)開(kāi)：[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\Wds\\rdpwd\\Tds\\tcp]，找到PortNumber 雙擊，點(diǎn)選“十進(jìn)制”，可以看到PortNumber的默認(rèn)值是3389，修改成所希望的端口即可。
        2、打開(kāi)[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]，找到PortNumber 雙擊，點(diǎn)選“十進(jìn)制”，將PortNumber的值(默認(rèn)是3389)修改成和上一步驟一樣的。

         注意：步驟1和步驟2的端口號(hào)要一樣??！

13. windows防火墻添加 遠(yuǎn)程端口號(hào)  入站策略。
14. 回過(guò)頭看第1步到第5步，檢測(cè)完成后，你就點(diǎn)擊一鍵處理就ok了。
            一般情況下：這個(gè)時(shí)候你就可以打開(kāi)任務(wù)管理器，把cpu 100%的進(jìn)程 結(jié)束掉，因?yàn)樗哪覆《疽呀?jīng)殺掉了，你把它殺掉，就不會(huì)生成病毒了。
            到這里，一般的機(jī)器的cpu使用率就恢復(fù)正常了，但是為了安全起見(jiàn)，也要進(jìn)行接下來(lái)的步驟！

15. 等待系統(tǒng)急救箱查殺完后會(huì)提示系統(tǒng)重啟；重啟后 會(huì)再次啟動(dòng) 系統(tǒng)急救箱  在輕微掃描一次，然后再系統(tǒng)重啟 ；系統(tǒng)啟動(dòng)會(huì) 急救箱會(huì)提示問(wèn)題是否解決。
16. 查看 任務(wù)管理器， cpu是否正常了。如不正常繼續(xù)以上操作即可。
（**注意：有一些***文件是需要網(wǎng)絡(luò)才會(huì)不斷的循環(huán)生成進(jìn)程，所以在殺毒的時(shí)候，可以把網(wǎng)卡禁用或斷網(wǎng)。**）

安裝**一個(gè)**360安全衛(wèi)士就行了，如果內(nèi)存足夠用，再安裝一個(gè)360殺毒。
別的殺毒軟件就別再安裝了，安裝多了，它們還打架呢！?。?/code>

最后提醒，沒(méi)有那個(gè)金剛鉆，千萬(wàn)別裸跑?。。?/p>

windows系統(tǒng)安裝完后：
        修改復(fù)雜密碼、修改默認(rèn)端口、裝一個(gè)殺毒軟件。

1. 利用相關(guān)軟件掃描系統(tǒng)的默認(rèn)端口號(hào)：
        （端口號(hào)：當(dāng)然是可以通過(guò)這個(gè)端口可以登錄系統(tǒng)，然后提權(quán)做其他事情的端口。例如：3389、3306、linux的22等）
        那他們是怎么知道你的IP呢？
                其實(shí)，每個(gè)***者手里又有n個(gè)ip地址段文件。這個(gè)是防不住的。
2. 掃描到默認(rèn)端口號(hào)，（每個(gè)***者都會(huì)有n個(gè) 賬戶、密碼的字典文件。）
3. 利用賬戶、密碼字典 來(lái)循環(huán)匹配登錄系統(tǒng)。
4. 匹配成功后，就會(huì)有自動(dòng)化的腳本，將已經(jīng)生成的***文件自動(dòng)上傳到系統(tǒng)的一些敏感的路徑下，如：C:\\Windows\\System32 目錄。
而且會(huì)設(shè)置自自動(dòng)任務(wù)。
5. ***文件拷貝完成后。一般情況下啟動(dòng)A***文件，然后會(huì)生成其他的類(lèi)似系統(tǒng)的文件名的B***文件，去做壞事。
6. 然后一開(kāi)始啟動(dòng)的A***文件這時(shí)候只是不斷檢測(cè)B***文件是否在執(zhí)行，使用cpu是很小的，幾乎看不出來(lái)。
7. 而你看到的利用率CPU 100%的文件時(shí)B***文件。所以你殺掉B***文件，發(fā)現(xiàn)沒(méi)一會(huì)又自動(dòng)生成 了。
8. 有些病毒甚至?xí)短缀芏鄬印?9. 大概就這些了。