第1篇:window入侵排查
0x00前言
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。
常见的应急响应事件分类:
web入侵:网页挂马、主页篡改、Webshell
系统入侵:病*木马、勒索软件、远控后门
网络攻击:DDOS攻击、DNS劫持、ARP欺骗
针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入侵排查的思路。
0x01入侵排查思路
1.1检查系统账号安全
1、查看服务器是否有弱口令,远程管理端口是否对公网开放。
检查方法:据实际情况咨询相关服务器管理员。2、查看服务器是否存在可疑账号、新增账号。
检查方法:打开cmd窗口,输入lusrmgr.msc命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。3、查看服务器是否存在隐藏账号、克隆账号。
检查方法:a、打开注册表,查看管理员对应键值。b、使用D盾_web查杀工具,集成了对克隆账号检测的功能。
4、结合日志,查看管理员登录时间、用户名是否存在异常。
检查方法:a、Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。b、导出Windows日志--安全,利用LogParser进行分析。
1.2检查异常端口、进程
1、检查端口连接情况,是否有远程连接、可疑连接。
检查方法:a、netstat-ano查看目前的网络连接,定位可疑的ESTABLISHEDb、根据netstat定位出的pid,再通过tasklist命令进行进程定位tasklist
findstr“PID”
2、进程
检查方法:a、开始--运行--输入msinfo32,依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期、启动时间等。b、打开D盾_web查杀工具,进程查看,