一、windows系统排查
1、开机自启动项排查
右击下方工具栏打开任务管理器,点击启动即可查看有无恶意启动项
如有异常启动项可选中点击禁用进行关闭
2、排查进程及外连情况
Win+r打开运行框,输入cmd然后回车打开shell终端
输入:netstat -ano 查看端口及外连信息
如有异常外连或高危端口开启可使用命令:taskkill /pid (pid后面的数字) -f 进行关闭
3、排查环境变量
【我的电脑】➜【属性】➜【高级系统设置】➜【高级】➜【环境变量】
排查内容:temp变量的所在位置的内容;后缀映射PATHEXT是否包含有非windows的后缀;有没有增加其他的路径到PATH变量中(对用户变量和系统变量都要进行排查);
如有异常变量可直接删除。
4、计划任务排查
Win+r打开运行框,输入taskschd.msc回车打开计划任务程序
如有异常计划任务可选中关闭
5、异常账号排查
Win+r打开运行框,输入cmd打开shell终端
输入命令:net user 查看所有用户
如有异常账号可登录超级管理员账号或使用管理员身份打开shell终端输入命令:net user (用户名) /del 对异常账号进行清除。
6、排查系统版本及补丁情况
在shell终端输入命令systeminfo命令查询
7、日志排查
Win+r打开运行框,输入eventvwr打开事件查看器
可重点排查安全日志
不同事件ID对应不同的安全事件,具体整理如下:
4624,表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。
4625,表示登陆失败的用户,用来判断RDP爆破的情况。
4672,表示授予了特殊权限
4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。
4727,4737,4739,4762,表示当用户组发生添加、删除时或组内添加成员时生成该事件。
可通过筛选器查看对应的日志,如下可查看4624登录日志
点击确定
可以看到登录时间与具体信息
8、使用工具排查
1、D盾查杀
下载官网:https://www.d99net.net/
2、河马查杀
https://www.shellpub.com/
二、linux系统排查
1、历史命令排查
输入命令:history 查看历史命令
2、异常用户排查
输入命令:cat /etc/passwd 和cat /etc/shadow 查看是否存在异常用户
3、历史登录
输入命令last可查看服务器历史登录情况
4、检查异常端口
输入命令:netstat -anptul 查看所有端口
5、计划任务排查
输入命令:crontab -l 查看有无计划任务
6、排查进程
输入命令:top
7、开机启动项
linux系统下的/etc/init.d目录下的文件中存放着开机自动启动的每个程序的目录
通过/etc/init.d/程序名 status命令可以查看每个程序的状态。
8、文件排查
/tmp目录为临时目录,在/tmp目录下所有用户都有写权限,所以要重点关注该目录下是否存在异常文件
输入命令:cd /tmp 进入tmp目录
输入命令:ls -a 查看目录下所有文件
24小时内被访问过的文件
输入命令:find / -iname "*" -atime 1 -type f
9、日志排查
在Linux系统中,日志是记录操作系统和应用程序运行时所发生事件的重要组成部分。这些日志对于系统管理、故障排查、安全审计和性能分析等方面都有着至关重要的作用。以下是Linux系统中常见的几种日志类型,以及它们的简要描述:
Linux系统的日志文件通常存储在/var/log目录下。常用的日志文件包括:
/var/log/syslog或/var/log/messages:系统日志,包含系统整体信息。/var/log/auth.log:包含认证信息,如用户登录、sudo使用等。/var/log/kern.log:内核日志,记录与系统内核相关的信息。/var/log/boot.log:系统启动信息。
可通过以下命令查看日志:
cat命令查看整个日志文件如:cat /var/log/syslog
tail命令查看日志末尾的内容如:tail /var/log/syslog
grep命令搜索日志中的特定内容:grep 'error' /var/log/syslog
注意事项
-
在处理大量或敏感的日志数据时,确保遵守相关的隐私和安全规定。
-
在生产环境中,避免使用可能消耗大量资源的命令,如无限制的
tail -f在高流量日志文件上。 -
如果日志文件变得非常大,考虑使用日志轮转工具(如
logrotate)来管理日志文件的增长和存储。
扫一扫
1243
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
