windows server 碰到此类问题我一般先从以下幾个着手做基本防御
打开防火墙,只开放对外的端口 比如8016666等等
排查进程是否有可疑的,找到进程文件然后结束进程,想办法删除文件
排查windows任务计划里是否有可疑的定时任务
虚拟主机对应的文件夹给最小的权限可以参考这个官方的设置帮助文档
排查程序所有upload的功能,是否有漏洞以及排查已经上传的文件是否有伪装为jpg之类的可执行文件
排查后台程序入口是否非常容易猜到,比如/admin
排查后台程序管理员是否弱密码等等