windows简单入侵排查

最新推荐文章于 2024-05-10 08:16:49 发布
最新推荐文章于 2024-05-10 08:16:49 发布
阅读量5.3k 收藏 28
点赞数 4
分类专栏: 运维安全 文章标签: 入侵检测 windows 取证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29647709/article/details/82346514
版权

客户内网被撸了,需要援助,调查发现:
1.内部网络中,出现大量内网攻击行为,主机、服务器对内部主机进行同网段扫描,漏洞攻击;
2.内部主机对外网地址445端口进随机扫描;
3.内部主机大量访问外网恶意威胁地址; 共发现25台主机、服务器感染木马病毒

1.处置ms17-010漏洞

1.1.定位感染PC终端、服务器,永恒之蓝扫描工具
对内网进行全网扫描,定位存在漏洞地址,修复漏洞。漏洞检测工具:
链接:https://pan.baidu.com/s/1-6EiM3qOCNWO3R8uC12UUw 密码:nsut
这里写图片描述

1.2.下载漏洞补丁并安装。
漏洞补丁及安装:
出“NSA武器库免疫工具”(http://dl.360safe.com/nsa/nsatool.exe),能够一键检测修复NSA黑客武器攻击的漏洞;对XP、2003等已经停止更新的系统,免疫工具可以关闭漏洞利用的端口,防止电脑被NSA黑客武器植入勒索病毒等恶意程序。
漏洞补丁:
https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

2.处置感染终端

(1)感染主机、服务器,建议进行备份处理后,断网进行漏洞处理和病毒木马处理。安装杀软,建议对其进行全盘杀毒;手工排查,安全人员手工排查恶意文件、注册表、启动项、异常服务器等内容;如感染终端未运行重要业务,建议对其备份后格式化重新安装操作系统。
2.1.手工排查可疑进程
任务管理器查看:
这里写图片描述
ProcessExplorer等进程工具查看可疑进程
这里写图片描述

还可以直接在cmd下手工查杀
查看已经建立的进程

netstat -ano | find “ESTABLISHED” (可以查看建立过的连接发现可疑IP)

这里写图片描述
tasklist|findstr “2228”回车,查看是哪个进程或者程序占用了2228端口,或者是我们打开任务管理器,切换到进程选项卡,在PID一列查看2228对应的进程是谁,结果是:YoudaoMote.exe
这里写图片描述

结束该进程:在任务管理器中选中该进程点击”结束进程“按钮,或者是在cmd的命令窗口中输入:taskkill /f /t /im Tencentdl.exe
2.2.注册表、启动项进行排查
自起程序目录:
Win10开机自启路径

C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
或者是
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

win 7自启

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

查看以下可能木马藏身的注册表

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Info"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Info"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Info"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
"Info="c:\directory\Trojan.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Info"="c:\directory\Trojan.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Info"="c:\directory\Trojan.exe"

另外木马也可以在这里运行
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
正常的情况下,这个键值应该是”%1 %“,如果是这样trojan.exe “%1 %“,那么木马就会自动启动了
(注:Trojan.exe在木马程序的意思)
发现刻意进程删除并重新启动机器。
2.3.取证分析
2.3.1.recent相关文件分析
通过分析查看用户最近打开分析可疑文件
a) C:\Documents and Settings\Administrator\Recent
b) C:\Documents and Settings\Default User\Recent
c) 开始,运行 %UserProfile%\Recent
2.3.2.查看已经建立的进程
netstat -ano | find “ESTABLISHED” (可以查看建立过的连接发现可疑IP)

2.3.3. 系统信息
Windows 的计划任务,看是否有可疑任务:
SCHTASKS
Windows 的帐号信息,如隐藏帐号等
使用net user(查看可疑账号)
如果是影子账户:
在注册表查看。
HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Name
2.3.4.入侵IP查找
打开事件管理器(开始—管理工具—事件查看/开始运行eventvwr)主要分析安全日志
事件日志:“Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational”、“Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational”。分析可以得到啥时候被远程登陆,以及获取到远程登陆的人是谁。
这里写图片描述
也可以借助它自带的日志分析功能:
这里写图片描述
这里写图片描述

tdcoming
关注
  • 4
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows环境黑客入侵应急与排查
liguangyao213的博客
10-28 804
1 文件分析 1.1 临时目录排查 黑客往往可能将病毒放在临时目录(tmp/temp),或者将病毒相关文件释放到临时目录,因此需要检查临时目录是否存在异常文件。 假设系统盘在C盘,则通常情况下的临时目录如下: C:\Users\[用户名]\Local Settings\Temp C:\Documents and Settings\[用户名]\Local Settings\Temp C:...
Windows入侵排查
shangMD01的博客
12-17 1455
1.1检查系统账号安全 1.检查服务器是否存在可以账号、新增账号: 打开cmd,输入lusrmgr.msc 如果有立即禁用或删除掉 2.检查服务器是否存在隐藏账号、克隆账号: 检查方法: a、打开注册表 ,查看管理员对应键值。 b、使用D盾_web查杀工具,集成了对克隆账号检测的功能。 3. 结合日志,查看管理员登录时间、用户名是否存在异常: win+r输入eventvwr.msc,回车打开事件查看器 1.2检查异常端口、进程 1.检查端口连接情况,是否有远程连接、可疑连接.
Windows主机入侵痕迹排查办法
Python_0011的博客
03-18 848
技能都是需要动手的,然后思路需要清晰,操作要细致,跟客户要保持沟通,切记不能闷着擅自操作!为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享。
Windows环境黑客入侵应急与排查(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Python_0011的博客
05-10 927
某感染环境,打开任务管理器,发现有大量名字随机的进程,如hrlB3.tmp、hrlCC.tmp、hrlCD.tmp、hrlC3.tmp、hrlC5.tmp、hrlD5.tmp、hrl6.tmp、hrlEE.tmp。黑客为了保持病毒能够开机启动、登录启动或者定时启动,通常会有相应的启动项,因此有必要找出异常启动项,并删除之。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
网络安全-应急响应之入侵排查篇及相关工具
GitHub质检员
11-22 849
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。常见的应急响应事件分类:Web 入侵:网页挂马、主页篡改、Webshell系统入侵:病毒木马、勒索软件、远控后门网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Windows 服务器入侵排查的思路。
window应急响应入侵排查
weixin_46236101的博客
10-28 444
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入侵排查的思路。
浅谈Windows入侵检查
weixin_34311757的博客
11-25 457
1 准备工作 检查人员应该可以物理接触可疑的系统。因为黑客可能侦测到你可以在检查系统,例如网络监听,所以物理接触会比远程控制更好。 为了当做法庭证据可能需要将硬盘做实体备份。如果需要,断开所有与可疑机器的网络连接。 做入侵检查时,检查人员需要一台PC对检查的过程进行检查项目的结果记录。 请维护可疑服务器人员或者PC使用人员来配合,来确定机器上运行的服务和安装的软件,便于安全检查人员提...
Windows应急响应排查基础.zip
02-11
Windows应急响应排查基础 简单的应急这足够解决 ...[应急响应] windows,入侵排查思路.docx Windows日志登录类型.docx windows应急响应CheckList.docx Windows分析.docx Windows安全检查篇.docx Windows后门账号.docx
操作系统-Windows Server培训课件.docx
09-22
Windows Server不仅仅是简单的操作系统,它是一个全面的平台,集成了多种服务和工具,包括文件和打印共享、DNS(域名系统)、DHCP(动态主机配置协议)、AD(活动目录)等。它的设计理念是为企业提供稳定、安全、...
服务器常用后门一键检测和清除工具
10-08
在IDC的服务器拿到的服务器常用后门一键检测和清除工具不敢独享,给大家分享出来,有此利器服务器后门马上显出原形!!!
5.rar_系统设计方案_Windows_Unix_
08-12
这个项目的目标是创建一个简单的防护机制,用于抵御病毒和蠕虫,具体实现可能是一个名为"a-patch3"的补丁或防护程序。 在描述中,“simple project to reject virus/worm a-patch3”提示我们,这个项目是一个简化的...
简易的基于规则的以太网入侵检测系统
03-11
本项目专注于创建一个简单、基于规则的EIDS,它可以在Windows平台上运行,为用户提供了一种有效的网络安全保障手段。核心组件是NIDS(Network Intrusion Detection System),在这里我们特别提到了Snort,这是一个...
第2章windows共63页.pdf.zip
11-25
1. **Windows操作系统介绍**:Windows是由微软公司开发的一款广泛使用的图形化操作系统,它提供了用户友好的界面,使得计算机操作更加简单直观。 2. **安装与启动**:了解如何安装Windows,包括全新安装、升级安装...
windows入侵排查思路
weixin_30787531的博客
08-01 686
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络...
通过Windows审核功能进行***分析
weixin_34223655的博客
01-07 233
为了系统的安全以及对敏感资源的保护,系统管理员可利用Windows系统提供的审核功能跟踪计算机上的用户和操作系统活动的过程。当一个安全事件发生以后,Windows系统即可在安全日志中写入一个事件记录,以便事后的分析和诊断。 通过建立安全审核策略,使得计算机能够进行下述操作: 跟踪事件的成功和失败。如试图登录、试图建立或修改某个用户帐户或组成员资格、试图访问特定用户...
windows入侵痕迹排除
weixin_46164380的博客
12-09 527
一、 1.取消勾选后缀名隐藏、文件夹隐藏、保护操作系统文件隐藏。 2.查看网络连接 netstat -ano 只有80和443端口,一般都是正常业务开放端口,这种情况一般都比较正常。 主机存在对内网网段大量主机的某些端口(常见如22,445,3389,6379等端口)或者全端口发起网络连接尝试,这种情况一般是当前主机被攻击者当作跳板机对内网实施端口扫描或者口令暴力破解等攻击。 注:对这种外网ip进行威胁情报查询 3.如果无法从网络连接进行查询,可以通过进程PID查找对应的程序。 二、查看铭感目录
windows常用的网络排查命令
weixin_44842905的博客
06-22 1048
ping 通过发送ICMP验证与其他TCP/IP计算机的IP级连接回显请求消息。显示相应的回音回复信息的接收,以及往返时间。 用于解决连接、可访问性和名称解析问题 常用ping选项: -t—一直ping,直到按下Ctrl+c -a —将地址解析为主机名,例:ping -a 200.20.1.100 -n —指定ping返回的次数,例:ping -n 5 -l —指定ping的包字节数大小,例:ping -l 1000 ping错误提示 找不到主机:无法解析域名 请求超时:目标主机不存在或进禁止ping
windows 入侵排查
09-15
针对Windows服务器的入侵排查,可以采取以下思路和方法: 1. 收集日志和信息: 首先,收集系统日志、网络流量日志、安全日志以及其他相关的事件日志。这些日志可以帮助分析人员了解入侵事件的发生和影响范围。 2. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值