Windows入侵排查
Windows入侵排查思路
1、检查系统账号安全
-
1、查看服务器是否有弱口令,远程管理端口是否对公网开放
- 检查方法:根据实际情况咨询相关服务器管理员,或者授权爆破
-
2、查看服务器是狗存在可疑、新增账号
- 检查方法:cmd输入lusrmgr.msc,查看是否有新增、可以账号,如有管理员群组的(administrators)里的新增账户,立即禁用或者删除
-
3、查看服务器是否存在隐藏账号、克隆账号
- 检查方法:1、打开注册表,查看管理员对应键值
2、使用D盾Web查杀攻击,集成了对克隆账号的检测功能
- 检查方法:1、打开注册表,查看管理员对应键值
-
4、结合日志,查看管理员登陆时间、用户名是否存在异常
- 检查方法:1、运行eventvwr.msc,查看事件管理器
2、导出Windows日志-安全,利用Log Parser进行分析
- 检查方法:1、运行eventvwr.msc,查看事件管理器
2、检查异常端口、进程
-
1、检查端口连接情况,是否有远程连接、可以连接
- 检查方法:1、netstat -nao 查看当前网络连接,定位可以的ESTANBLISHED
2、根据netstat定位出的pid,在通过tasklist进行进城定位,tasklist|findstr “pid号”
- 检查方法:1、netstat -nao 查看当前网络连接,定位可以的ESTANBLISHED
-
2、检查进程
- 检查