0x01 入侵排查思路
0x01a 检查系统账号安全
0x01aa 查看服务器是否有弱口令,远程管理端口是否对公网开放。
检查方法:据实际情况咨询相关服务器管理员。
0x01ab 查看服务器是否存在可疑账号、新增账号。
检查方法:打开 cmd 窗口,输入lusrmgr.msc命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。
0x01ac 查看服务器是否存在隐藏账号、克隆账号。
检查方法:
a、打开注册表 ,查看管理员对应键值。
b、使用 D 盾 _web 查杀工具,集成了对克隆账号检测的功能。
0x01ad 结合日志,查看管理员登录时间、用户名是否存在异常。
检查方法:
a、Win+R 打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。
b、导出 Windows 日志–安全,利用 Log Parser 进行分析。
0x02 进程
检查方法:
a、开始–运行–输入 msinfo32,依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息,比如进程路径、进程 ID、文件创建日期、启动时间等。
b、打开 D 盾 _web 查杀工具,进程查看,关注没有签名信息的进程。
c、通过微软官方提供的 Process Explorer 等工具进行排查 。
d、查看可疑的进程及其子进程。可以通过观察以下内容:
没有签名验证信息的进程 没有描述信息的进程 进程的属主 进程的路径是否合法 CPU 或内存资源占用长时间过高的进程
小技巧:
a、查看端口对应的 PID: netstat -ano | findstr “port”
b、查看进程对应的 PID:任务管理器–查看–选择列–PID 或者 tasklist | findstr “PID”
c、查看进程对应的程序位置:
任务管理器–选择对应进程–右键打开文件位置 运行输入 wmic,cmd界面 输入 process
d、tasklist /svc 进程-- PID --服务
e、查看 Windows 服务所对应的端口:
%system%/system32/drivers/etc/services(一般 %system%就是 C:\Windows)
0x03 检查启动项、计划任务、服务
0x03a 检查服务器是否有异常的启动项。
检查方法:
a、登录服务器,单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。
b、单击开始菜单 >【运行】,输入 msconfig,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。
c、单击【开始】>【运行】,输入 regedit,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项:
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。
d、利用安全软件查看启动项、开机时间管理等。
e、组策略,运行 gpedit.msc。
0x03b 检查计划任务
检查方法:
a、单击【开始】>【设置】>【控制面板】>【任务计划】,查看计划任务属性,便可以发现木马文件的路径。
b、单击【开始】>【运行】;输入 cmd,然后输入at,检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接。
0x03c 服务自启动
检查方法:
单击【开始】>【运行】,输入 services.msc,注意服务状态和启动类型,检查是否有异常服务。