服务器被入侵后如何查询连接IP以及防护措施

目前越来越多的服务器被入侵，以及攻击事件频频的发生，像数据被窃取，数据库被篡改，网站被强制跳转到恶意网站上，网站在百度的快照被劫持等等的攻击症状层出不穷，在这些问题中，如何有效、准确地追踪到访问服务器的外部IP是一个重要的方向。

首先我们应该从以下方面入手：
检查服务器的进程是不是有恶意的进程，以及管理员账号是否被恶意增加，对服务器的端口进行查看，有没有开启多余的端口，再一个对服务器的登陆日志进行检查，服务器的默认开启启动项，服务以及计划任务，检查网站是否存在木马后门，以及服务器系统是否中病毒。

而系统日志是服务器运行过程中自动生成的记录文件，包含了服务器的各种操作信息，如用户登录、文件操作、系统事件等。通过分析系统日志，可以了解服务器的使用情况，发现异常行为，甚至可以追踪到访问服务器的外部IP。那么如何追踪到访问服务器的外部IP呢？

1、右击计算机->选择管理

2、打开服务器管理器->诊断->windows日志->安全->将所有事件另存为

3、选择存储的位置->填写文件名称->选择保存的类型为文本文件

4、打开生成在桌面的远程登录日志文本文件->编辑->查找->查找内容填写：客户端地址

其实针对入侵最主要的还是在一开始来防止被入侵，不然等到真的被入侵后，那带来的损失还是比较大的，毕竟数据是无价的。德迅卫士采用自适应安全架构，有效解决传统专注防御手段的被动处境，为系统添加强大的实时监控和响应能力。针对入侵方面，德迅卫士是有远程防护的功能，远程防护用于对远程桌面登录进行防护，防止非法登录。支持多重防护规则，增强远程桌面安全。开启后是会进行二次验证：微信认证登录、手机验证码登录以及二级密码登录。

通过三大核心架构：
Agent - 主机探针
Agent只需要一条命令就能在主机上完成安装，且自动适配各种物理机、虚拟机和云环境，运行稳定、消耗低，能够持续收集主机进程、端口和账号信息，并实时监控进程、网络连接等行为，还能与Server端通信，执行其下发的任务，主动发现主机问题。

Engine - 安全引擎
Server作为核心平台的信息处理中枢，支持横向扩展分布式部署，能够持续分析检测从各个Agent上接收到的信息和行为并进行保存，可从各个维度的信息中发现漏洞、弱密码等安全风险和Webshell写入行为、异常登录行为、异常网络连接行为、异常命令调用等异常行为，从而实现对入侵行为实时预警。

Console - 控制中心
以Web控制台的形式和用户交互，清晰展示各项安全监测和分析结果，并对重大威胁进行实时告警，帮助用户更好更快地处理问题，提供集中管理的安全工具，方便用户进行系统配置和管理、安全响应等相关操作。

为产品服务提供基础的、灵活的、稳固的核心能力支持。有效预测风险，精准感知威胁，提升响应效率，保障业务安全的最后一公里。