Windows入侵排查秘籍:锁死安全漏洞

于 2024-08-07 18:35:11 发布
阅读量699 收藏 26
点赞数 22
文章标签: windows 网络安全 安全 安全漏洞 入侵排查
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuchaoyang/article/details/140998571
版权

文章目录

Windows入侵排查秘籍:锁死安全漏洞

1 检查系统账号安全

1.1 查看服务器是否有弱口令,远程管理端口是否对公网开放

检查方法:

据实际情况咨询相关服务器管理员。

1.2 查看服务器是否存在可疑账号、新增账号

检查方法:

打开 cmd 窗口,输入 lusrmgr.msc 命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,请立即禁用或删除。

我们通过 net user /add 来添加账号,如果末尾添加$,说明这是一个隐藏账号,通过 net user 查看是无法发现隐藏账号的,但是我们 lusrmgr.msc 打开本地用户,则可以发现隐藏用户,如果有异常用户则将其删除。

image-20240726103932620

image-20240726143122143

1.3 结合日志,查看管理员登录时间、用户名是否存在异常

检查方法:

a、Win+R 打开运行,输入"eventvwr.msc",回车运行,打开"事件查看器",点击“安全”。

image-20240726104325339

b、导出 Windows 日志 – 将所有事件另存为,利用微软官方工具 Log Parser 进行分析。 工具下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=24659

LogParser.exe -i:evt "select top 100 * from 'D:\Security.evtx'" -o:DATAGRID

参数使用 -i:<输入源> 中间部分,sql语句 -o:<输出格式>

示例:

LogParser.exe -i:evt "select top 100 * from 'D:\Security_20240726.evtx'" -o:DATAGRID

image-20240726112227484

image-20240726111838814

2 检查异常端口、进程、启动项

2.1 检查网络连接情况,是否有远程连接、可疑连接

检查方法:

  1. 使用 netstat -ano 命令查看目前的网络连接,定位可疑的 ESTABLISHED

ESTABLISHED:完成连接并正在进行数据通信的状态。 LISTENING:表示处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接。 CLOSE_WAIT:对方主动关闭连接或者网络异常导致连接中断。 TIME_WAIT:我方主动调用close()断开连接,收到对方确认后状态变为TIME_WAIT。

image-20240726112547515

  1. 根据 netstat 命令定位出的 PID 编号,再通过 tasklist 命令进行进程定位 tasklist | findstr “PID”

image-20240726112745325

可以进一步去任务管理器中确认(不一定能找到)

image-20240726113517905

2.2 检查异常进程

检查方法:

依据进程名称查看是否有可疑进程,比如xxxxx.exe可能是木马。 tasklist /svc

image-20240726113643134

  1. 开始 – 运行 – 输入 msinfo32 命令,依次点击 “软件环境 – 正在运行任务” 就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期以及启动时间等。

image-20240726113907290

  1. 通过微软官方提供的 Process Explorer 等工具进行排查,工具下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

image-20240726114227009

  1. 查看可疑的进程及其子进程,可以通过观察以下内容 :没有签名验证信息的进程、没有描述信息的进程、进程的属主、进程的路径是否合法、CPU或内存资源占用长时间过高的进程(比如挖矿)

常用命令:

a. 查看端口对应的 PID:netstat -ano | findstr “port”

b. 查看进程对应的 PID:任务管理器 – 查看 – 选择列 – PID 或者 tasklist | findstr “PID”

c. 查看进程对应的程序位置: 任务管理器 – 选择对应进程 – 右键打开文件位置/运行输入wmic,cmd 界面输入 process

d. tasklist /svc 进程 – PID – 服务

f. 查看Windows服务所对应的端口: %systemroot%/system32/drivers/etc/services(一般 %systemroot% 就是 C:\Windows 路径)

2.3 检查启动项

检查服务器是否有异常的启动项

检查方法:

  1. 登录服务器,单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。

  2. 单击开始菜单 >【运行】,输入 msconfig ,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。

image-20240726141804585

  1. 单击【开始】>【运行】,输入 regedit,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

image-20240726142547369

检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。

  1. 利用安全软件查看启动项、开机时间管理等。

  2. 组策略,运行 gpedit.msc

image-20240726142753222

**原文链接:**https://mp.weixin.qq.com/s?__biz=MzkxNzI1OTE3Mw==&mid=2247492289&idx=1&sn=0ded47697cbe4cfe505f2c128ab093d8&chksm=c141f40bf6367d1d68588e13e9771f75fc73fed788ce744549ac3a9db4f19a7890fa486dc8d4#rd

👍 点赞,你的认可是我创作的动力!

⭐️ 收藏,你的青睐是我努力的方向!

✏️ 评论,你的意见是我进步的财富!

img

superman超哥
关注
网络安全事件应急响应实战二
悦分享
09-14 1万+
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业。新闻源网站一般权重较高,收录快,能够被搜索引擎优先收录,是黑灰产推广引流的必争之地,很容易成为被攻击的对象。短连接(short connnection)是相对于长连接而言的概念,指的是在数据传送过程中,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一项业务的发送。
Linux操作系统安全入侵排查
09-30
本PPT介绍: 1、Linux操作系统的安全配置,通过设置这些配置项可以在一定程度上保证系统的安全性,有效降低被攻击的风险,为业务稳定运行提供一定的保障。安全配置加固涉及的方面包括:账号口令、登陆认证授权、网络与服务、日志要求、其他安全配置,根据上述五个方面的要求提供了详尽的配置操作及说明。 2、Linux系统被入侵后可能出现的异常现象,通过这些异常特征来判断系统是否被入侵。课程还介绍了针对系统入侵的应急排查步骤和要求,主要涉及的排查内容包括:检查系统日志及命令记录 、检查账户、检查文件、检查系统启动项和计划任务、检查进程和网络连接、检查是否存留后门等恶意程序,根据上述检查内容提供相关的操作及说明。
windows入侵安全排查分析1
08-08
2、查看服务器是否存在可疑账号、新增账号 3、查看服务器是否存在隐藏账号、克隆账号 4、结合日志,查看管理员登录时间、用户名是否存在异常 2、webshell查
应急响应 - Windows用户分析,Windows隐藏账号分析,Windows克隆账号分析
wangyuxiang946的博客
04-20 1万+
一、普通用户 二、隐藏用户 1、lusrmgr.msc 2、注册表 三、克隆账号
Windows应急响应-排查方式
最新发布
rumil的博客
08-05 1181
网络安全应急响应(Network Security Incident Response,又称CSIRT)是指团队或组织为了在网络安全事件发生时能够及时准确地做出反应和应对而建立的一套制度和流程。其目的是降低网络安全事件所造成的损失并迅速恢复受影响的系统和服务。我这里总结了一些 Window 服务器应急响应的思路和方法,希望能对师傅们处理攻击事件或工作中的应急响应有所帮助。常见的应急响应事件分类:常见的应急响应事件可分为四类,如下。
Windows主机异常排查方法
wine12o的博客
01-05 1128
主机异常排查
应急响应篇:windows入侵排查
A_991128a的博客
02-22 863
应急响应(Incident Response Service,IRS)是当企业系统遭受病毒传播、网络攻击、黑客入侵安全事件导致信息业务中断、系统宕机、网络瘫痪,数据丢失、企业声誉受损,并对组织和业务运行产生直接或间接的负面影响时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,同时分析入侵原因、还原入侵过程、评估业务损失、溯源黑客取证并提出解决方案和防范措施,减少企业因黑客带来的相关损失。本文主要讨论windows入侵后的排查思路。windows入侵排查利器:火绒剑。
windows系统入侵排查思路
剁椒鱼头没剁椒的博客
06-21 4883
windows系统服务器入侵排查的思路
作为蓝队如何进行排查系统的安全问题(仅作为学习笔记)
qq_42640780的博客
06-26 569
应急响应系统排查
网络安全--Windows入侵排查
songbai220
12-12 907
Windows入侵排查 Windows入侵排查思路 1、检查系统账号安全 1、查看服务器是否有弱口令,远程管理端口是否对公网开放 检查方法:根据实际情况咨询相关服务器管理员,或者授权爆破 2、查看服务器是狗存在可疑、新增账号 检查方法:cmd输入lusrmgr.msc,查看是否有新增、可以账号,如有管理员群组的(administrators)里的新增账户,立即禁用或者删除 3、查看服务器是否存在隐藏账号、克隆账号 检查方法:1、打开注册表,查看管理员对应键值 2、使用D盾Web查杀攻击
Windows主机安全加固&检查列表
02-12
Windows主机安全加固&检查列表,包括账户管理、本地策略、服务、网络协议、注册表设置、文件系统与权限、常规安全
Windows操作系统安全入侵排查
09-30
本PPT介绍: 1、Windows操作系统的安全配置,通过设置这些配置项可以在一定程度上保证系统的安全性,有效降低被攻击的风险,为业务稳定运行提供一定的保障。安全配置加固涉及的方面包括:补丁管理、账号口令、授权管理、服务管理、功能优化、文件管理、远程访问控制防护、日志审计。课程以Windows server 2008为例,根据上述八大方面提供了详尽的配置操作及说明。 2、Windows系统被入侵后可能出现的异常现象,通过这些异常特征来判断系统是否被入侵。课程还介绍了针对系统入侵的应急排查步骤和要求,主要涉及的排查内容包括:检查系统应用日志、检查账户、检查文件、检查系统启动项和计划任务、检查进程和网络连接、检查是否存留后门等恶意程序,根据上述检查内容提供相关的操作及说明。
NISP
极光时流
07-21 2782
NISP七月份练习01 文章目录NISP七月份练习01NISP七月份练习02NISP七月份练习03NISP七月份练习04NISP七月份练习05NISP七月份练习06NISP七月份练习07NISP七月份练习08NISP七月份练习09NISP七月份练习10NISP七月份练习11NISP七月份练习12NISP七月份练习13NISP七月份练习14NISP七月份练习15NISP七月份练习16NISP七月份练习17NISP七月份练习18 1我国的( )主要规定了关于数据电文、电子签名与认证及相关的法律责任 A.《中华人
如何抓到入侵网站的黑客?
weixin_34092455的博客
07-09 2734
shotgun ,讲故事的黑客 366 人赞同 利益相关:信息安全从业人员,曾在某大学教过公安部委托培训信息安全硕士《攻防与技术侦破》专业课。======按照时间划分,一次犯罪是由犯罪动机、犯罪方法和犯罪后果三个部分构成的,那么侦破也相应的可以从这三个部分分别入手。先来看动机,最难侦破的是无动机犯罪,例如走在街上临时起意做了个案子,回家后洗心革面重新做人,这种案子往往会成为“悬...
注册表知识与技巧大全
热门推荐
08-03 1万+
注册表知识和技巧大全 注册表基础: ********系统文件夹:********* 名称 路径 含义 AppData C:\Windows\Application Data 应用程序 Cache C:\Windows\Temporary Internet Files
服务器托管过程中勒索病毒的预防
WK13439930160的博客
09-19 980
在服务器托管过程中,如何防范勒索病毒是管理员的重要课题。勒索病毒是一个世界性难题,全世界没有很好的办法来破解勒索病毒的秘钥。所以在服务器托管过程中, 一定要加强硬件管理。还是要强调一点,一切的事后管控都不如事先预防!所以再次强调:在服务器托管过程中,一定切记要定期异地备份数据,一定是异地备份,这样才能有备无患,即使中毒也可将服务器全盘格式化后重做系统导入数据。
Windows入侵排查
Williamanddog的博客
02-08 655
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企 业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解 决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件分类: Web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗 使用环境:Windows 7。
windows简单入侵排查
a1b2c3是弱口令
09-03 5410
客户内网被撸了,需要援助,调查发现: 1.内部网络中,出现大量内网攻击行为,主机、服务器对内部主机进行同网段扫描,漏洞攻击; 2.内部主机对外网地址445端口进随机扫描; 3.内部主机大量访问外网恶意威胁地址; 共发现25台主机、服务器感染木马病毒 1.处置ms17-010漏洞 1.1.定位感染PC终端、服务器,永恒之蓝扫描工具 对内网进行全网扫描,定位存在漏洞...
Windows系统日志审核:强化安全入侵排查策略
1. 系统概述:Windows由微软公司开发,从最初的DOS模拟环境发展到现在的多用途操作系统,因其易用性和普及性深受用户喜爱。服务器版的Windows尤其关键,需要关注安全漏洞和不当配置带来的风险。 2. 安全防护措施: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值