网络安全——应急响应之入侵排查

一、windows入侵排查

1.入侵排查思路

1.1 检查系统账号安全

1.查看服务器是否有弱口令、远程管理端口是否对公网开放

（根据实际情况咨询相关服务器管理员）

2.检查服务器是否存在可疑账号、新增账号

（打开cmd窗口，输入lusrmgr.msc命令，查看是否有可疑或者新增的账号，若存在管理员Administrators群组内新增的账户，请立即禁用或者删除）

3.查看服务器注册表是否存在隐藏账号、克隆账号

（打开注册表–regedit.exe或者regedit，查看管理员对应键值）

（使用D盾查杀工具，集成了对克隆账号检测的功能）

4.结合日志，查看管理员登陆时间、用户名是否存在异常

（使用命令提示符，输入eventvwr.msc，打开事件查看器）

（导出windows日志–安全，利用微软官方工具 Log Parser 进行分析）

1.2 检查异常端口、进程

1.检查端口连接情况，是否有远程连接或者可疑连接

（使用netstat -ano命令查看当前的网络连接，查找可疑的ESTABLISHED）

netstat -ano | findstr ESTAB  一定要看

（根据netstat命令定位的PID编号，再通过tasklist命令进行进程定位）

tasklist | findstr “PID”

2.进程

（命令提示符输入msinfo32，点击软件环境–正在运行任务，查看进程的详细信息）

（使用D盾或者火绒剑查杀工具，关注没有签名信息的进程）

（通过微软官方提供的Process Explorer等工具进行排查）

（查看可以的进程以及子进程，观察以下内容：）

没有签名验证信息的进程

没有描述信息的进程

进程的属主

进程的路径是否合法

cpu或者内存资源占用长时间过高的进程

3.技巧

a.查看端口对应的PID：

netstat -ano | findstr “PORT”

b.查看进程对应的PID：任务管理器----查看----选择列—PID

​

 tasklist | findstr “PID”

c.查看进程对应的程序位置：任务管理器–选择对应进程–右键打开文件位置

命令提示符输入wmic，cmd界面输入process

d.在cmd界面输入tasklist，列出所有进程；或者在任务管理器中选择服务，查看所有进程及所属PID

e.查看Windows服务所对应的端口：

​ %systemroot%/system32/drivers/etc/services（一般 %systemroot% 就是 C:\Windows 路径）

1.3 检查启动项、计划任务、服务

1.检查服务器是否有异常的启动项

a.登陆服务器，单机开始–所有程序–启动，默认情况为空目录，确认是否有非业务程序在该目录下

b.单击开始–运行–msconfig，查看是否存在命名异常的启动项目，若存在，则取消勾选命名异常的启动项目，并且根据显示路径删除文件

c.单击开始–运行–regedit，打开注册表，查看开机启动项是否正常，特别注意以下三个注册表项

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

检查是否有启动异常的项目，若有的话请删除，建议安装杀毒软件进行病毒查杀、清除残留病毒或者木马

d.利用安全软件查看启动项、开机时间管理等

e.点击开始–运行–gpedit.msc，打开组策略编辑器

2.检查任务计划

a.点击开始–设置–控制面板–任务计划，查看计划任务属性，发现木马文件的路径

b.点击开始–运行，cmd页面输入at，检查计算机与网络上其他计算机之间的会话或计划任务，确认是否为正常连接

3.服务自启动

点击开始–运行，输入services.msc，注意服务状态和启动类型，检查有无异常服务

1.4 检查系统相关信息

1.查看系统版本以及补丁信息

点击开始–运行，输入systeminfo，查看系统信息

2.查找可疑目录及文件

a.查看用户目录，新建账号会在这个目录生成一个用户目录，查看是否有新建用户目录

Window 2003版本 C:\Documents and Settings