应急响应-账户排查

最新推荐文章于 2024-05-13 18:29:39 发布
最新推荐文章于 2024-05-13 18:29:39 发布
阅读量1.9k 收藏 8
点赞数 1
分类专栏: 应急响应 文章标签: 网络安全 应急响应 windows应急响应 linux应急响应
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61503377/article/details/127939151
版权

用户信息排查

在服务器被入侵之后,攻击者可能会建立相关账户,方便进行远程控制。
主要采用一下几种:

  1. 直接建立一个新用户;(有时候为了混淆视听,账户名称和系统常用名相似)
  2. 激活一个系统中的默认用户,但是这个用户不经常使用;
  3. 建立一个隐藏用。(在windows中,一般在用户名后加$)

无论攻击者采用哪种方法,都会在获取账户后,使用工具或是利用相关漏洞将这个用户提升到管理员权限,然后通过这个账户任意控制计算机。

windows账户排查

命令行方法

  1. 在命令行输入【net user】命令,可以直接收集用户的账户信息,若需要查看某个用户的详细信息,可以在命令行输入【net user username】命令;
    在这里插入图片描述

  2. 在命令行中输入【wmic useraccount get name,SID】命令,也可以查看用户信息。
    在这里插入图片描述

【net user】看不到隐藏账户,【wmic useaccount get name,SID】可以看到隐藏账户。
在这里插入图片描述

图形化方法

  1. 打开【计算机管理】窗口,单击【本地用户和组】中的【用户选项】,可以查看隐藏账户,名称以$结尾的为隐藏账户。
    在这里插入图片描述

  2. 在命令行输入【lusrmgr.msc】,可以直接打开图形界面,查看是否有新增或者可疑用户。
    在这里插入图片描述

以上方法看不到克隆账号,克隆账号是攻击者修改注册表来进行账户创建。

排查克隆账号

  1. win+R,输入【regedit】打开注册表,依次点击【HKEY_LOCAL_MACHINE】>>【SAM】>>【SAM】;
    在这里插入图片描述

  2. 【SAM】下边还存在文件,因为权限的问题我们无法访问到;右击【SAM】选择【权限】,然后选择【administrator】用户,勾选下边的【完全控制】和【读取】选项卡点击应用,就可以看到【SAM】下边的文件。
    在这里插入图片描述

  3. 刷新注册表,查看克隆账户的信息。
    在这里插入图片描述

Linux账户排查

  1. 简单查看用户信息
    在Linux系统中存放用户信息的文件是/etc/passwd,最简单的方法使用cat查看passwd文件内容;
    在这里插入图片描述

  2. 排查是否存在除Root用户之外的超级用户;

awk -F: '{if ($3==0) print $1}' /etc/passwd

在这里插入图片描述
如果存在其他用户,可以联系管理员进行处理;

  1. 排查可以通过交互式页面进行登录的用户;
cat /etc/passwd | grep '/bin/bash'

在这里插入图片描述

  1. 查看哪些用户被爆破或者登陆失败的用户信息;
lastb

在这里插入图片描述
下面我注销账户,随便输入用户名和密码进行实验,再登录进行查看;
在这里插入图片描述

  1. 查看系统所有用户最后一次登录时间;
lastlog

在这里插入图片描述

  1. 查看用户最近一次的登录情况;
last

在这里插入图片描述

  1. 查看当前登录到系统的用户;
who

在这里插入图片描述

  1. 排查空口令账户;
awk -F: 'length($2) ==0 {print$1}' /etc/shadow

在这里插入图片描述

曲折上升
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
攻防演练作为蓝方,怎么知道服务器已经有隐藏用户
keyboard专栏
04-17 1113
Linux 系统中,查找所有用户帐户通常意味着查看系统用来存储用户信息的文件。最主要的文件是,它包含了系统上所有用户的列表。下面是一些基本方法和命令,帮助你查找和分析 CentOS 系统上的所有账户信息,而不仅仅是隐藏或非活动的帐号。
应急响应 - Windows用户分析,Windows隐藏账号分析,Windows克隆账号分析
wangyuxiang946的博客
04-20 1万+
一、普通用户 二、隐藏用户 1、lusrmgr.msc 2、注册表 三、克隆账号
Linux应急响应排查
最新发布
m0_57967573的博客
05-13 1727
Linux应急响应相关排查
Linux恶意攻击自查方案
W1124824402的博客
12-12 1663
实际上,/etc/rc.d/init.d和/etc/xinetd.d目录,以及/etc/rc.d/rc.local文件是通过软链接到/etc/rc*.d目录下执行加载的,而/etc/inittab是启动配置文件,因此重点关注/etc/rc0.d~rc6.d目录下的文件。注:各服务的启动脚本存放在/etc/init.d/和/etc/xinetd.d目录下,对于没有或无法使用chkconfig命令的系统,可通过创建或删除到/etc/rc*.d目录下的软链接,手工实现管理服务开机是否启动。
Linux 中查找用户帐户信息和登录详细信息的 12 种方法
网络技术联盟站
07-05 1万+
除了使用系统提供的工具和文件,您还可以编写自己的脚本来查找用户帐户信息和登录详细信息,并将结果记录到自定义的日志文件中。这样可以根据您的需求和系统配置进行更灵活的管理和监视。/bin/bash # 查找用户帐户信息 cat /etc/passwd # 查找登录详细信息 lastlog # 记录结果到日志文件 LOG_FILE = "/var/log/user_info.log" {以上是12种在Linux中查找用户帐户信息和登录详细信息的方法。
查看linux中所有用户的三种方式
suifeng_ly的博客
07-24 435
通过使用/etc/passwd文件,getent命令,compgen命令这三种方法查看系统中用户的信息。 大家都知道,Linux系统中用户信息存放在/etc/passwd文件中。 这是一个包含每个用户基本信息的文本文件。当我们在系统中创建一个用户,新用户的详细信息就会被添加到这个文件中。 /etc/passwd文件将每个用户的基本信息记录为文件中的一行,一行中包含 7 个字段。 /etc/...
linux添加隐藏账户,Linux——CentOS7添加/删除用户用户
weixin_39815286的博客
05-08 1184
Linux——CentOS7添加/删除用户用户组2017年11月23日 11:17:56ataoajuan阅读数:6932版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/ataoajuan/article/details/78612465前言今天又重新装了centos7突然有关用户用户组有关的命令记不清了,所以记一下,也方便你我学习。———...
应急响应实践课程(全新升级)—课程资源与下载地址.docx
04-22
应急响应实践课程》是一门全面讲解网络安全应急处理的视频教程,旨在帮助学员掌握系统安全检测、问题排查和应对策略。课程已经全新升级,确保内容的时效性和实用性,且资源真实有效,已在知识星球平台上分享。 ...
应急响应技巧(1).pdf
04-23
应急响应技巧(1).pdf】的文档主要涵盖了在网络安全领域中进行应急响应的一些关键技巧,特别是针对Linux系统的检查和分析。以下是对这些技巧的详细解释: 1. **系统检查**: - **端口检查**:使用`netstat`命令...
Windows应急流程及实战演练.docx
03-06
总结来说,这份文档详细阐述了Windows服务器在遭受安全事件时的应急响应流程,包括账号安全检查和异常端口、进程的排查,为企业的网络安全提供了实用的应对策略。通过这些方法,企业可以提高应对黑客攻击的能力,...
StreamBase应急方案1
08-08
3. **应急响应策略**: - **负载均衡问题**:如果UIS服务调用HIS服务失败,且负载均衡服务器172.26.13.47不可达,但其他服务器正常,需与负载均衡设备供应商协调处理。 - **数据库查询**:当所有URL均能访问成功,...
mimic:在Linux中以普通用户身份隐藏进程
05-02
模仿 mimic是用于在Linux x86_64上秘密执行的工具。 什么是“秘密执行”? 秘密执行是隐藏流程的艺术。 在这种情况下,模拟程序会将进程隐藏在可见的地方。 mimic可以启动任何程序,并使它看起来像任何其他程序。 任何用户都可以使用它。 它不需要特殊权限。 它不需要特殊的二进制文件。 它不需要根工具包。 什么?! 没有特殊特权? 那是正确的。 模拟通过重新布置流程的内部结构以使其混淆该流程的/ proc条目的方式来工作。 所有报告过程性质的工具都通过检查/ proc来执行此操作。 如果我们可以弯曲/ proc,那么我们可以将进程隐藏起来。 由于我们只是在更改自己拥有的流程的状态,因此任何人都可以成功运行mimic 。 可以检测到吗?! 当然,但是仅当您非常仔细地查看或正在运行用于此类事情的取证工具时,才可以。 模仿的用处在于,它首先可以防止某人变得可疑。 这可以与
windows 应急流程及实战演练1
08-03
Windows应急响应中,首要任务是对服务器的安全状况进行全面检查,以确定是否存在被入侵的风险或已经发生的入侵事件。本文将详细阐述在"Windows应急流程及实战演练1"中涉及的关键知识点,包括系统账号安全检查、...
Linux操作系统安全配置
V13807970340的博客
04-15 3654
在我们Linux系统当中,默认的情况下,所有的系统上的帐号与一般身份使用者,还有root的相关信息, 都是记录在/etc/passwd这个文件内的。vsftpd 是一个 UNIX 类操作系统上运行的服务器的名字,它可以运行在诸如 Linux、BSD、Solaris、 HP-UNIX等系统上面,是一个完全免费的、开放源代码的ftp服务器软件,支持很多其他的 FTP 服务器所不支持的特征。UID号为0是为root用户保留的,UID号1到99是为系统用户保留,UID号100-999是为系统账户和群组保留。
Linux中如何查询谁登录过偷偷做坏事?这4个命令绝对可以!
网络技术联盟站
08-21 294
在多用户Linux 系统中,有时候会有查询当前已登录到系统中用户的需求。比如因某种原因要注销某个用户。今天我们简单介绍下在 Linux 系统中列出登录用户的几种方法。我们所介绍的这几个方法中,几乎所有命令都依赖存在于 /var 或者 /proc 目录中的数据。如果你对 Linux 中的目录结构稍有了解,就会知道这两个目录包含有关系统上正在运行的进程的数据。这是个最简单的方法,只需键入一个字母命令,即可查询出当前系统中登录的用户。 如下是 w 命令的输出:我们对上面的输出做个简单的解释,在其他命令中也会涉
3-5 Linux安全加固
weixin_43263566的博客
10-14 388
注意:修改这个配置文件只能影响后面创建的用户,也就是说在之前的该是多少天过期就多少天过期。文件是Linux系统中用于存储用户密码信息的文件。一样修改这个配置文件只能影响后面创建的用户
linux添加用户隐藏权限
weixin_30621711的博客
06-27 936
1、添加用户报错提示: [root@server-2 etc]# useradd guset useradd: cannot open /etc/group 2、查看 /etc/group文件权限正常 3、查看下面四个文件是否有隐藏权限 [root@localhost~]#lsattr/etc/passwd -------------/etc/passwd [root...
linux隐藏登录用户,在Ubuntu 18.04登录屏幕中隐藏用户列表
weixin_32340873的博客
04-29 1501
在Ubuntu 18.04的Gnome登录屏幕通常显示可供用户登录的列表。 对于那些想禁用显示用户列表,并手动输入用户名登录,下面我会告诉你怎么操作。在键盘上按Ctrl + Alt + T打开终端,打开终端时,逐个运行以下命令:1.运行命令以访问根目录:sudo -i输入密码(输入时无视觉反馈),当它提示并按Enter时。2.然后切换到用户gdm,这是运行gsettings来配置gdm设置所必需的...
Linux查看用户列表和删除用户
热门推荐
霓虹深处
11-09 1万+
我的Linux上面不知道添加了多少个账户,今天想清理一下: 一般情况下是 cat /etc/passwd 可以查看所有用户的列表 w 可以查看当前活跃的用户列表 cat /etc/group 查看用户组 但是这样出来的结果一大堆,于是找到一个: cat /etc/passwd|grep -v nologin|grep -v halt|grep -v shutdown|awk -F":"...
存在可疑账户应急响应排查工作
07-15
您好!针对可疑账户应急响应排查工作,以下是一些建议的步骤: 1. 确认可疑账户:首先,需要明确哪些账户被认为是可疑的。这可能是通过异常活动、不寻常的登录尝试、异常交易等指标来判断。 2. 暂停账户:为了避免进一步的损失和风险,建议暂时停用可疑账户。这可以通过禁用账户、冻结资金或限制账户功能来实现。 3. 收集证据:在进行进一步调查之前,收集与可疑账户相关的所有证据。这包括登录日志、交易记录、通信记录等。确保保存这些证据以供后续分析和报告使用。 4. 调查来源:确定可疑账户的来源是非常关键的一步。可以通过分析登录IP地址、设备信息、交易路径等来追溯账户的来源。这可能需要与相关部门、服务提供商或执法机构合作。 5. 分析行为:对可疑账户进行行为分析,以了解其活动模式和操作。这可以帮助确定可能的攻击方式、目的和受影响的范围。 6. 恢复账户:在确认可疑活动并采取必要的修复措施后,可以考虑恢复账户的访问权限。这可能包括更改密码、增强安全措施、审核账户设置等。 7. 加强安全:根据对可疑账户的调查结果,评估和加强您的安全措施。这可能包括改进身份验证流程、增加多因素身份验证、加密敏感数据等。 8. 监测和预防:建立有效的监测系统,以及持续的威胁情报收集和分析,可以帮助预防未来类似事件的发生。 请注意,以上建议仅供参考,具体的应急响应排查工作可能因组织和情况而异。在处理可疑账户时,建议与安全专家或相关机构合作,以确保有效并及时采取适当的措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

曲折上升

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值