Windows服务器入侵检测排查
一、文件排查
1)开机启动有无异常文件
【文件】→【运行】→【msconfig】
![05a6439a606fe63749314f0edf9ecdf8.png](https://img-blog.csdnimg.cn/img_convert/05a6439a606fe63749314f0edf9ecdf8.png)
2)各个盘下的temp(tmp)相关目录下查看有无异常文件:Windows产生的临时文件:
![af221c69fb9b8410d2dc1ed33e63b310.png](https://img-blog.csdnimg.cn/img_convert/af221c69fb9b8410d2dc1ed33e63b310.png)
3)Recnt是系统文件夹,里面存放着你最近使用的文档的快捷方式,查看用户recent相关文件,通过分析最近打开分析可疑文件:
【开始】→【运行】→【%UserProfile%、Recent】
4)根据文件夹内文件列表时间进行排序,查找可疑文件。当然也可以搜索指定日期范围的文件及文件:
Windows Server 2008 R2
![7a785024c8e83d3553e4f7f026cfe0a6.png](https://img-blog.csdnimg.cn/img_convert/7a785024c8e83d3553e4f7f026cfe0a6.png)
Windows 10
![31a085cec83a3796e9d4cc193d03616c.png](https://img-blog.csdnimg.cn/img_convert/31a085cec83a3796e9d4cc193d03616c.png)
5)查看文件时间,创建时间、修改时间、访问时间,黑客通过菜刀类工具改变的是修改时间。所以如果修改时间在创建时间之前明显是可疑文件
![d30fc9bf6a290bfc1fa0458cc6ade831.png](https://img-blog.csdnimg.cn/img_convert/d30fc9bf6a290bfc1fa0458cc6ade831.png)
二、端口、进程排查
1)netstat -ano //查看目前的网络连接,定位可疑的ESTABLISHED
netstat //显示网络连接、路由表和网络接口信息;
参数说明:
![391f4fce9dc139a1817dc48a22574e37.png](https://img-blog.csdnimg.cn/img_convert/391f4fce9dc139a1817dc48a22574e37.png)
常见的状态说明:
LISTENING //倾听状态
ESTABLISHED //建立连