Windows应急响应--网站被入侵后的排查【跟随安全狍老师学习总结】

最新推荐文章于 2024-05-11 21:12:44 发布
最新推荐文章于 2024-05-11 21:12:44 发布
阅读量709 收藏 2
点赞数 1
文章标签: windows 安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75866896/article/details/131558707
版权

Windows应急响应--网站被入侵后的排查

网站被入侵该怎么办

一般的网站被入侵分为三种类型
1.web入侵
具体事件体现为:

  • 网页挂马

  • 主页篡改

  • webshell
		(一般网页被webshell入侵后会留下webshell.php文件)
		(写CTF的签到题会有用)
    2.系统入侵
    具体事件体现为:
  • 病毒木马

  • 勒索软件

  • 远控后门
    3.网络攻击
  • DDos

  • DNS劫持

  • ARP欺骗

以Windows系统为例

系统入侵的排查思路
1.检查服务器上是否被创建了可疑的用户账号

  • win+r 运行命令提示符

  • 输入lusrmgr.msc打开用户管理器[^1]

    lusrmgr由两个单词lusr和mgr组成
    在这里插入图片描述

  • 在其中发现非法的用户,可以右键禁用或者删除

在这里插入图片描述
2.日志排查

  • 依旧打开cmd,输入eventvwr.msc(Event Viwer事件查看器)

  • 打开日志-Windows安全-安全

在这里插入图片描述

  • 可以看到用户登录以及用户对该主机做出的一些操作,结合登陆时间、系统反馈、用户异常来进行日志的检查

3.检查端口和进程的异常

  • 打开PowerShell

  • 输入netstat -ano显示系统端口使用情况查看有无异常

在这里插入图片描述

  • 检查PID有无Established处于通信状态的端口

4.检查进程管理

  • 通过Power Shell,输入tasklist打开进程管理

在这里插入图片描述

  • 通过此命令查看当前运行的应用以及端口

3-4二者都是多加留意自己不熟知的端口号、应用进程名字

5.查看系统信息

  • 打开cmd输入msinfo32检查系统信息

  • 点开软件环境-正在运行的任务

在这里插入图片描述

这一步就是将第四步图形化展开,在这里,我们重点观察:
1.没有签名的进程
2.没有描述信息的进程
3.进程的属主
4.进程的路径是否合法
5.CPU 或者 内存 占用过高时间过长的进程

6.检查启动项和检查目录

  • 打开cmd输入msconfig

在这里插入图片描述

  • 检查是否有奇怪的启动项或服务

同时检查启动项还有第二种方式:检查注册表

  • 打开cmd输入regedit进入到注册表中

  • 找到目录为:计算机\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

在这里插入图片描述

  • 默认情况下只有一个默认

还有一个目录是

  • 计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

在这里插入图片描述

  • 默认初始只有这三个选项,如果有其他的要留意一下
  • 再打开该路径下的Runonce注册表,同理只有一个默认项如有其他的多加留意

7.检查网站日志
如果被网站入侵要去检查中间件日志,以Apache服务器为例:
在这里插入图片描述

  • 点开logs

在这里插入图片描述

  • 可以查看到一些错误日志和账号日志,点开查看可以看到一些具有例如sql注入、web注入的特征的报错语句
Adong试练
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
应急响应-攻击入侵排查 教学PPT
11-17
应急响应-攻击入侵排查入侵的症状 解读WEB、系统日志 WEBshell的特征 检查工具的介绍
Windows应急响应基础知识/常用方法
weixin_61355725的博客
08-27 793
无法仅使用名称进入文件夹(例如:cd …不起作用),必须使用cd …WebLogic 9及以后版本:WebLogic安装路径\user_projects\domains\\servers\\logs\。安全日志:用户权限的变化、文件和目录的访问、打印以及用户系统登陆和注销,如有效或无效的登陆尝试、与资源使用有关的事件。IIS日志通常存放在%systemroot%\system32\logfiles\W3SVC1\目录。日志的存储位置于: C:\Windows\System32\winevt\Logs。
Windows应急响应流程与思路
mashiro_hibiki的博客
04-25 1559
网络安全应急响应(Network Security Incident Response,又称CSIRT)是指团队或组织为了在网络安全事件发生时能够及时准确地做出反应和应对而建立的一套制度和流程。其目的是降低网络安全事件所造成的损失并迅速恢复受影响的系统和服务。我这里总结了一些 Window 服务器应急响应的思路和方法,希望能对师傅们处理攻击事件或工作中的应急响应有所帮助。
Windows应急响应
weixin_44727454的博客
07-04 1853
Windows应急响应入侵排查
Windows应急响应
m0_67401055的博客
05-15 3017
转载至奇安信攻防社区-Windows应急响应Windows应急响应篇 本篇主要以windows应急响应的基础技术手段进行介绍。 一、概述: 近年来,随着互联网的发展网络安全攻击事件也是大幅度增多,如何在第一时间发现攻击事件,并实施应急处置,能够有效的将损失降到最低。在实施应急响应的过程中,需要从多方面进行联动工作,具体的流程和依据可以参考《GB∕T 38645-2020 信息安全技术 网络安全事件应急演练指南》,本篇主要以windows应急响应的基础技术手段进行介绍。 二、技术分析 1、准备工作 在
windows应急响应
h1825819493的博客
04-16 428
当企业发生黑客入侵、系统崩溃或其他影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。应急响应:应急排查、加固、溯源、审计、加固安全事件识别。
2024年网络安全最全windows应急响应基础(基础和常用命令)_win7 紧急命令,腾讯T2手把手教你
2401_84300239的博客
05-11 528
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
应急响应-linux入侵排查.md
最新发布
06-19
应急响应-linux入侵排查.md
应急响应】Linux入侵排查思路
09-18
应急响应】Linux入侵排查思路: 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第...针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
Windows应急响应排查基础.zip
02-11
Windows应急响应排查基础 简单的应急这足够解决 ...[应急响应] windows,入侵排查思路.docx Windows日志登录类型.docx windows应急响应CheckList.docx Windows分析.docx Windows安全检查篇.docx Windows后门账号.docx
Windows操作系统安全入侵排查
09-30
2、Windows系统被入侵后可能出现的异常现象,通过这些异常特征来判断系统是否被入侵。课程还介绍了针对系统入侵的应急排查步骤和要求,主要涉及的排查内容包括:检查系统应用日志、检查账户、检查文件、检查系统启动...
应急响应Windows应急响应排查思路,应急响应基础技能
热门推荐
wangyuxiang946的博客
04-17 1万+
结合实战案例逐步讲解Windows应急响应排查思路及具体操作步骤
【实战】服务隐藏与排查 | Windows 应急响应
jijisaq的博客
03-26 1383
攻击者通过创建服务进行权限维持过程中,常常会通过一些手段隐藏服务,本文主要演示通过配置访问控制策略来实现隐藏的方式以及排查方法的探索不包含通过修改内存中链表进行隐藏的方式。
windows应急响应基础命令
siu~
04-16 569
windows应急响应基础知识
Windows应急响应|入侵排查指南
MachineGunJoe666
10-13 76
WAF基本上可以分为一下几类。以软件形式装在所保护的服务器上的WAF,由于安装在服务器上,所以可以接触到服务器上的文件,直接检测服务器上是否存在WebShell、是否有文件被创建等。 以硬件形式部署在链路中,支持多种部署方式,当串联到链路中时可以拦截恶意流量,在旁路监听模式时只记录攻击不进行拦截。一般以反向代理的形式工作,通过配置NS记录或CNAME记录,使对网址的请求报文优先经过WAF主机,经过WAF主机过滤后,将认为无害的请求报文再发送给实际网站服务器进行请求,可以说使带防护的CDN。网站系统内置的WA
应急响应-文件痕迹排查
懂进攻知防守
11-21 1074
应急响应排查的过程中,由于大部分的恶意软件、木马、后门等都会在文件维度上留下痕迹,因此对文件痕迹的排查必不可少。时间点查找应急响应事件发生后,需要先确认事件发生的时间点,然后排查时间点前后的文件变动情况,从而缩小排查的范围。通过列出攻击日期内变动的文件,可以发现相关的恶意软件。系统中的恶意文件存在特定的设置、和关键字信息等。
常见的 Webshell 查杀工具
Stestack的博客
05-22 1480
网站服务器被入侵时,我们需要一款Webshell检测工具,来帮助我们发现webshell,进一步排查系统可能存在的安全漏洞。本文推荐了10款 WebShll 检测工具,用于网站入侵排查。当然,目前市场上的很多主机安全产品也都提供这种 WebShell 检测能力,比如阿里云、青藤云、safedog 等,本文暂不讨论。1、D盾_Web查杀阿D出品,使用自行研发不分扩展名的代码分析引擎,能分析更为隐藏的 WebShell 后门行为。兼容性:只提供 Windows 版本。
你的电脑被黑客入侵过吗?教你快速自检
2301_80115097的博客
12-05 822
要注意的是, msconfig这些命令只是列出了部分开机自动启动的程序, Windows开机自启动的方式很多, 包括劫持系统程序/动态运行库等方式, 其中涉及到许多注册表入口, 感兴趣的朋友可以查看网上的。, 以及在管理员组的用户. 当然, 你最好能熟悉正常的进程和服务, 不然也不知道某个进程是不是"异常"的. 如果不熟悉也不要紧, 对着任务管理器不认识的进程, 挨个google一遍也就能大概了解了.然后设置查找选项, 比如文件大小大于10000KB, 或者创建/修改时间在一周以内, 并搜索相关文件.
Linux服务器应急响应入侵排查安全策略
"这篇文档详细介绍了Linux应急响应的流程及实战演练,主要针对企业在遭遇黑客入侵、系统崩溃等安全事件时如何快速恢复并调查事件。文档涵盖了账号安全、日志分析、系统状态检查等多个关键点,旨在提升Linux系统的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值