如何快速判断服务器是否被恶意入侵

1、查看下是什么类型的攻击。检查下系统日志，看下攻击者都去了哪些地方。

2、入侵者入侵后一般会开服务器的3389，建立隐藏用户，然后登录。我们只要到c：documents and settings这个目录下看看是否有可以的用户名就可以了，不管是不是隐藏的用户，都会在这里显示出来。

3、\x0d\x0a一般入侵者可以通过直接替换in.xxx程序来创建一个后门，比如用/bin/sh 替换掉in.telnetd，然后重新启动inetd服务，那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。