一、windows入侵排查
1.入侵排查思路
1.1 检查系统账号安全
1.查看服务器是否有弱口令、远程管理端口是否对公网开放
(根据实际情况咨询相关服务器管理员)
2.检查服务器是否存在可疑账号、新增账号
(打开cmd窗口,输入lusrmgr.msc命令,查看是否有可疑或者新增的账号,若存在管理员Administrators群组内新增的账户,请立即禁用或者删除)
3.查看服务器注册表是否存在隐藏账号、克隆账号
(打开注册表–regedit.exe或者regedit,查看管理员对应键值)
(使用D盾查杀工具,集成了对克隆账号检测的功能)
4.结合日志,查看管理员登陆时间、用户名是否存在异常
(使用命令提示符,输入eventvwr.msc,打开事件查看器)
(导出windows日志–安全,利用微软官方工具 Log Parser 进行分析)
1.2 检查异常端口、进程
1.检查端口连接情况,是否有远程连接或者可疑连接
(使用netstat -ano命令查看当前的网络连接,查找可疑的ESTABLISHED)
netstat -ano | findstr ESTAB 一定要看
(根据netstat命令定位的PID编号,再通过tasklist命令进行进程定位)
tasklist | findstr “PID”
2.进程
(命令提示符输入msinfo32,点击软件环境–正在运行任务,查看进程的详细信息)
(使用D盾或者火绒剑查杀工具,关注没有签名信息的进程)
(通过微软官方提供的Process Explorer等工具进行排查)
(查看可以的进程以及子进程,观察以下内容:)
没有签名验证信息的进程
没有描述信息的进程
进程的属主
进程的路径是否合法
cpu或者内存资源占用长时间过高的进程
3.技巧
a.查看端口对应的PID:
netstat -ano | findstr “PORT”
b.查看进程对应的PID:任务管理器----查看----选择列—PID
tasklist | findstr “PID”
c.查看进程对应的程序位置:任务管理器–选择对应进程–右键打开文件位置
命令提示符输入wmic,cmd界面输入process
d.在cmd界面输入tasklist,列出所有进程;或者在任务管理器中选择服务,查看所有进程及所属PID
e.查看Windows服务所对应的端口:
%systemroot%/system32/drivers/etc/services(一般 %systemroot% 就是 C:\Windows 路径)
1.3 检查启动项、计划任务、服务
1.检查服务器是否有异常的启动项
a.登陆服务器,单机开始–所有程序–启动,默认情况为空目录,确认是否有非业务程序在该目录下
b.单击开始–运行–msconfig,查看是否存在命名异常的启动项目,若存在,则取消勾选命名异常的启动项目,并且根据显示路径删除文件
c.单击开始–运行–regedit,打开注册表,查看开机启动项是否正常,特别注意以下三个注册表项<