windows server 碰到此类问题,我一般先从以下几个着手做基本防御
windows远程连接的默认端口3389 改成其他,比如16666
打开防火墙,只开放对外的端口 比如80,16666等等
排查进程是否有可疑的,找到进程文件,然后结束进程,想办法删除文件
排查windows任务计划里是否有可疑的定时任务
排查程序所有upload的功能,是否有漏洞,以及排查已经上传的文件是否有伪装为jpg之类的可执行文件
排查后台程序入口是否非常容易猜到,比如/admin
排查后台程序管理员是否弱密码等等