怎么查看服务器被入侵？

在网上，有不少人恶意入侵别人的服务器，做一些坏事。作为服务器管理人员，要经常检查自己的服务器安全。如果发现服务器被入侵，要尽快做相关的补救措施。但前提，你要能发现自己的服务器被入侵。其实还是有一些技巧的：第一步、检查系统组及用户有没有异常1：我的电脑——右键管理——本地用户和组——组检查administrators组内是否存在除开管理员用户账号（默认为administrator）以外的其他用户账号。检查users组内是否存在非系统默认账号或管理员指定账号。2：本地用户和组——用户检查是否存在未做注释或名称异常的用户。如果发现有异常，马上删除这些异常用户。第二步：查看管理员的日常登录日志。主要是检查管理员账户是否存在异常的登陆和注销记录具体的操作步骤：我的电脑——右键管理——事件查看器——安全性具体的检查方法：筛选所有事件ID为576和528的事件（576为系统登陆日志528为系统注销日志）查看具体事件信息内容。内容内会存在一个登陆IP。检查该IP是否为管理员常用登陆的IP。一般通过上面两个方法，就很容易检查到自己的服务器有没有被入侵。

！下面大家还是跟着我们5636网吧联盟的网吧系统栏目一起去看看吧！　　我们可以试试这样来做：　　1第一时间拨掉网线，这可以说是最安全的断开链接的方法，除了保护自己外,也可能保护同网段的其他主机！　　(1)分析登录文件的话:我们可以通过分析一些主要的登录文件找到对方的IP以及可能出现的漏洞一般分析的文件为:/var/log/messages和/var/log/secure文件还可以使用last命令找出最后一个登录者的信息　　(2)检查主机开放的服务:每个服务都有漏洞或不该启动的增强型或测试型功能找出系统上的服务,逐个检查服务是否有漏洞或设置上的失误　　(3)重要数据备份，就是非Linux上的原有数据如/etc/passwd,/etc/shadow,WWW网页的数据,/home里的用户文件,至于/etc/,/usr/,/var等目录下的数据就不要备份了　　(4)系统重装，这个重要的是选择合适的包,不要将所有的包都安装　　(5)包漏洞修补，安装后,要立即更新系统包,更新后再设置防火墙机制,同时关闭一些不必要的服务,最后才插上网线　　(6)关闭或卸载不需要的服务，一般启动的服务越少,系统入侵的可能性就越低　　(7)数据恢复与恢复服务设置，备份的数据要复制回系统,然后将提供的服务再次开放　　(8)最后将主机开放到网络上

服务器被入侵，修改了管理员账号和密码，建议让机房重做服务器系统。系统重做后，对服务器安全进行部署。服务器是被黑客入侵了，被黑的因素 一般都是程序留了后门或vps内被留了系统内核级别的木马 或网站的代码留了隐蔽性的木马或一句话shell。

一般都是网站程序存在漏洞或者服务器存在漏洞而被攻击了。

如果对于服务器安全不懂的话，建议找专业的安全公司来解决，国内也就Sinesafe和绿盟等安全公司 比较专业