③使用netstat -an | find "3389" 查看网络连接及其端口开放情况。

    使用netstat -an | find "3389"命令可以查看目前正在使用远程终端的连接及其3389端口开放情况。

    ④通过注册表查看3389端口开放情况

    分别查看注册表键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]和[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]下的PortNumber值（图2）。默认PortNumber的值为3389，如果发现其值不是3389，则可以肯定一定有入侵发生。

图2查看3389端口开放情况

    （4）Web服务器的安全检查

    ①SQL Server 2000等数据库安全检查

    目前对Web服务器进行SQL注入是一种主流攻击方式，SQL注入攻击最有可能留下痕迹的就是SQL Server 2000等数据库中的临时表，通过HDSI等软件进行SQL注入攻击，在数据库中会留下临时表。因此可以通过数据库的企业管理器或者查询处理器进行表的浏览，直接查看最新创建表的情况。

    ②Web日志文件检查

    如果Web服务设置日志记录，则系统会在缺省的“%SystemRoot%\system32\Logfiles”目录下对用户访问等信息进行记录。日志文件能够记录入侵者所进行的操作以及入侵者的IP地址等。