服务器好像中病毒了，怎么查？

如果怀疑服务器中病毒了，首要的任务清除病毒。首先，服务器安装杀毒软件，升级到最新版本。然后，断掉网络，到安全模式下，全盘对服务器进行杀毒。这样也能避免病毒通过局域网渠道传播到其他的机器上。平时建议服务器及时修复漏洞，不要随便下载安装软件。设置安全级别比较高的口令，禁止其他人随便登陆。

1、病毒木马排查。

1.1、使用netstat查看网络连接，分析是否有可疑发送行为，如有则停止。

在服务器上发现一个大写的CRONTAB命令，然后进行命令清理及计划任务排查。

(linux常见木马，清理命令chattr -i /usr/bin/.sshdrm -f /usr/bin/.sshdchattr -i /usr/bin/.swhdrm -f /usr/bin/.swhdrm -f -r /usr/bin/bsd-portcp /usr/bin/dpkgd/ps /bin/pscp /usr/bin/dpkgd/netstat /bin/netstatcp /usr/bin/dpkgd/lsof /usr/sbin/lsofcp /usr/bin/dpkgd/ss /usr/sbin/ssrm -r -f /root/.sshrm -r -f /usr/bin/bsd-portfind /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9）

1.2、使用杀毒软件进行病毒查杀。

2、服务器漏洞排查并修复

2.1、查看服务器账号是否有异常，如有则停止删除掉。

2.2、查看服务器是否有异地登录情况，如有则修改密码为强密码（字每+数字+特殊符号）大小写，10位及以上。

2.3、查看Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic后台密码，提高密码强度（字每+数字+特殊符号）大小写，10位及以上。

2.4、查看WEB应用是否有漏洞，如struts, ElasticSearch等，如有则请升级。

2.5、查看MySQL、SQLServer、FTP、WEB管理后台等其它有设置密码的地方，提高密码强度（字每+数字+特殊符号）大小写，10位及以上。

2.6、查看Redis无密码可远程写入文件漏洞，检查/root/.ssh/下黑客创建的SSH登录密钥文件，删除掉，修改Redis为有密码访问并使用强密码，不需要公网访问最好bind 127.0.0.1本地访问。

2.7、如果有安装第三方软件，请按官网指引进行修复。

你好，DNS病毒容易导致网卡DNS服务器地址被恶意篡改，或者是访问正常网站时被强制跳转到其它网站上去。你可以运行CMD后在弹出的命令提示符窗口中输入ipconfig /all查看DNS Server或DNS服务器的IP地址是否为你自己原来指定的DNS服务器地址，或者是仍旧保持为自动获取，当然这也可能是其它病毒导致。但如果DNS服务器设置未被篡改，则可能是其它病毒篡改了C:\Windows\System32\Drivers\etc文件夹中的hosts文件，而系统在访问网络将域名解析为IP地址时，会首先检查这个hosts文件，如果有相应域名对应的IP地址，则直接根据相应的IP地址来访问，如果没有，再向DNS服务器发起查询请求。建议你可使用腾讯电脑管家，在“杀毒”选项中点击全盘查杀按钮对病毒进行清除。对于被恶意篡改的DNS服务器地址，你还可以点击电脑管家右下角的工具箱，选择DNS优选，点击立即检测后根据几个公用DNS服务器的响应时间，选择一个最快的服务器，然后点击右侧的启用。

而如果hosts文件被篡改，那么请用记事本打开这个文件，然后删除#127.0.0.1 Localhost下面的所有行。而在WIN7下，要修改hosts文件，还要事先获取权限，右击hosts文件，选择属性，在“安全”选项卡中点击编辑，然后点击添加按钮，输入你当前的管理员帐户名，再点击检查名称，最后为其分配完全控制的权限就能修改了。

如果你还有其它电脑问题，欢迎你在电脑管家企业平台提出，我们将尽力为你解答。

---