windows应急响应

前言

        当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进行处理，使企业的网络信息系统在最短时间内恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失。

常见的应急响应事件分类：

web入侵：网页挂马、主页篡改、Webshell

系统入侵：病毒木马(病毒有传染性、木马没有，一般木马都是做后门)、勒索软件、远控后门

网络攻击：DDOS攻击(护网是不允许ddos的)、DNS劫持、ARP欺骗

针对常见的攻击事件，结合工作中应急响应事件分析和解决的方法，总结了一些Window服务器入侵排查的思路。

一、windows的入侵排查

1. 检查系统账号安全

查看服务器是否存在可以账号、新增账号。

（1）. 可以在cmd终端输入net user或lusrmgr.msc 查看用户信息

（2）.可以右键点击此电脑,左键点击管理，找到本地用户和组，在点击用户，也可以看见当前计算机的用户信息。

(3).顺便检查一下Guest账户权限和属组权限

如果发现Guest用户属于管理员组，也说明有问题。

（4）.查看服务器是否存在隐藏账号、克隆账号。

win+r     输入  regedit   打开注册表

右键点击SAM，左键点击权限，把圈红的地方勾选，点击应用，刷新一下

即可在注册表中看到所有用户的名称

2. 查看服务器是否建立了链接

查看服务器是否存在弱口令，远程管理端口是否对公网开放。

使用netstat -ano查看是否开启了高危端口，也可以使用对结果findstr对结果进行筛选

netstat -ano

netstat -ano |findstr ESTABLISHED

3.查看进程

（1）.先按照上面的端口连接情况，是否优远程连接和可疑连接。

  (2) . 使用netstat -ano |findstr  ESTABLISHED  ，查看到进程的pid(最后一列)。

（3）.在任务管理器里面找pid对应的进场和名称。看是否有可疑的软件和进场。

可以win + r 打开运行，输入msinfo32，打开系统信息，点击软件环境，再点击正在运行任务，也可以看见进程运行情况。

也可以在cmd中使用tasklist /svc查看进程

查找到可疑进程，可以使用taskkill /pid或者taskkill /im <进程名称>把进程杀死。

4.检查启动项

1. 检查服务器是否有异常的启动项，因为有些木马都是开启自启动的，不然重启后，就没有用了，

检查方法：(1).登录服务器，单击【开始】>【所有程序】>【启动】，默认情况下此目录在是一个空目录，确认是否有业务程序在该目录下。

(2).win+ r 打开运行，输入msconfig，查看是否存在命名异常的启动项，有的话取消勾选命名异常的启动项目，并到命令中显示的路径删除文件。

(3).win + r 打开运行，输入regedit，打开注册表，查看开机启动项是否正常，特别注意下面注册表项：

HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonc

5.查找可疑目录及文件

检查方法：

(1)、检查用户目录，新建账号只要登录过，就会生成一个用户目录，查看是否有多余用户目录。

(2)、也可以在网站的根目录，根据时间进行排序了，进行查找可疑文件。

6.  查看日志。

方法：win  + r  打开运行，输入eventvwr.msc,打开事件查看器，查看操作系统的系统日志。

结合日志，查看管理员登录时间、用户名是否存在异常。

自我感觉window日志没什么用，不太好看。