前言
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。
常见的应急响应事件分类:
web入侵:网页挂马、主页篡改、Webshell
系统入侵:病毒木马(病毒有传染性、木马没有,一般木马都是做后门)、勒索软件、远控后门
网络攻击:DDOS攻击(护网是不允许ddos的)、DNS劫持、ARP欺骗
针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入侵排查的思路。
一、windows的入侵排查
1. 检查系统账号安全
查看服务器是否存在可以账号、新增账号。
(1). 可以在cmd终端输入net user或lusrmgr.msc 查看用户信息
(2).可以右键点击此电脑,左键点击管理,找到本地用户和组,在点击用户,也可以看见当前计算机的用户信息。
(3).顺便检查一下Guest账户权限和属组权限
如果发现Guest用户属于管理员组,也说明有问题。
(4).查看服务器是否存在隐藏账号、克隆账号。
win+r 输入 regedit 打开注册表
右键点击SAM,左键点击权限,把圈红的地方勾选,点击应用,刷新一下
即可在注册表中看到所有用户的名称
2. 查看服务器是否建立了链接
查看服务器是否存在弱口令,远程管理端口是否对公网开放。
使用netstat -ano查看是否开启了高危端口,也可以使用对结果findstr对结果进行筛选
netstat -ano
netstat -ano |findstr ESTABLISHED
3.查看进程
(1).先按照上面的端口连接情况,是否优远程连接和可疑连接。
(2) . 使用netstat -ano |findstr ESTABLISHED ,查看到进程的pid(最后一列)。
(3).在任务管理器里面找pid对应的进场和名称。看是否有可疑的软件和进场。
可以win + r 打开运行,输入msinfo32,打开系统信息,点击软件环境,再点击正在运行任务,也可以看见进程运行情况。
也可以在cmd中使用tasklist /svc查看进程
查找到可疑进程,可以使用taskkill /pid或者taskkill /im <进程名称>把进程杀死。
4.检查启动项
1. 检查服务器是否有异常的启动项,因为有些木马都是开启自启动的,不然重启后,就没有用了,
检查方法:(1).登录服务器,单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有业务程序在该目录下。
(2).win+ r 打开运行,输入msconfig,查看是否存在命名异常的启动项,有的话取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。
(3).win + r 打开运行,输入regedit,打开注册表,查看开机启动项是否正常,特别注意下面注册表项:
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonc
5.查找可疑目录及文件
检查方法:
(1)、检查用户目录,新建账号只要登录过,就会生成一个用户目录,查看是否有多余用户目录。
(2)、也可以在网站的根目录,根据时间进行排序了,进行查找可疑文件。
6. 查看日志。
方法:win + r 打开运行,输入eventvwr.msc,打开事件查看器,查看操作系统的系统日志。
结合日志,查看管理员登录时间、用户名是否存在异常。
自我感觉window日志没什么用,不太好看。