windows排查思路
一 检查系统账号安全
1,检查服务器是否有弱口令, 远程管理端口是否对公网开放。
2,查看服务器是否存在可疑账号,新增账号。打开cmd窗口,输入lusrmgr.msc(本地用户和组)产看是否有新增,可以账户,核实后禁用或删除。
3. 检查服务器 是否存在隐藏账号,克隆账号。
a :打开注册表,产看管理员对应键值
b:使用D盾web查杀工具。
二:检查端口异常,进程。
- 检查端口连接情况,是否有远程连接,可疑连接。
a:netstat -anob 查看目前的网络连接,定位可疑的ESTABLISHED
b:根据netstat定位出的pid,在通过tasklist命令进行进程定位 tasklist |findstr “pid”
发现异常ip地址可以在威胁情报平台查询,如果是恶意ip,可以比较快速的确认攻击方式
2 进程
win+r 输入msinfo32,点击软件环境------- 正在运行的任务。可以查看到进程的详细信息,比如进程路径,进程ID 文件创建日期,
利用微软官方提供的 Process Explorer 工具
查看端口对应的pid : netstat -ano | findstr “443”
查看进程对应的程序位置, 任务管理器 ----------- 选择对应进程----------右键打开文件位置
查看windows服务所对应的端口 C:\Windows\System32\drivers\etc
三 检查启动项,计划任务,服务
a: win+r 输入msconfig 查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。
win+r 输入regedit,打开注册表,查看开机启动项是否正常。
- 检查计划任务。
a: win+r 输入 taskschd.msc 查看计划任务属性,可以发现木马文件的路径。
b:输入 schtasks.exe 检查计算机与网络上的其他计算机之间的会话或者计划任务。如有,则确认是否为正常连接。
3. 服务自启动
win+r 输入services.msc 注意服务状态和启动类型,检查是否有异常服务
五 自动化查杀,后门检测
后门查杀(https://www.freebuf.com/vuls/195906.html 文章参考)
webshel查杀 ,后门查杀。
六 日志分析
- 系统日志
win+r 输入 eventvwr.msc 打开事件查看器。
- web访问日志 : 找到中间件的web日志,打包到本地方便进行分析。
事件ID
4624 ---- 登陆成功
4625 ------登陆失败
4634 ------注销成功
4647 ------用户启动的注销
4672 ------使用超级用户(管理员)进行登录
Linux排查思路
- 账号文件基本信息
用户信息文件 etc/passwd
root❌0:0:root:/root:/usr/bin/zsh
用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell
影子文件 etc/shadow
2. 常用命令
who (查看当前登录用户,tty代表本地登录 ,pts代表远程登录)
w (查看系统信息,想知道某一时刻用户行为)
uptime (查看登录多久,多少用户,负载)
last (查看用户登录时间信息)
lastlog (查看最后一次登录本系统的用户时间的信息)
1、查询特权用户特权用户(uid 为0)
awk -F: ‘$3==0{print $1}’ /etc/passwd
2. 查询可以远程登录的帐号信息
awk ‘/$1|$6/{print $1}’ /etc/shadow
除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限
more /etc/sudoers | grep -v “#|$” | grep “ALL=(ALL)”
- 禁用或删除多余及可疑的帐号
usermod -L user 禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头
userdel user 删除user用户
userdel -r user 将删除user用户,并且将/home目录下的user目录一并删除
历史命令:
通过.bash_history查看帐号执行过的系统命令;
root的历史命令:history
打开/home各帐号目录下的.bash_history,查看普通帐号的历史命令;
more /home/tom/.bash_history
入侵排查:
进入用户目录下:cat .bash_history >> history.txt
(3)检查异常端口
1、使用netstat 网络连接命令,分析可疑端口、IP、PID
netstat -pantu
查看PID对应进程文件路径
ls -l /proc/PID/exe
(4)检查异常进程
使用ps命令,分析进程
ps aux ps aux | grep pid
(5)检查开机启动项
查看系统启动项也是一个有效发现黑客攻击的方法,查看的方法也很简单,就是查看几个系统文件就行了,一般来说我们只需要查看下述的这几个文件就行
系统启动项:
more /etc/rc.local
ls -l /etc/rc.d/rc[0~6].d
ls -l /etc/rc.d/rc3.d/
more /etc/ld.so.preload linux动态链接库,linux正常程序运行过程中,动态链接器会读取LD_PRELOAD环境变量的值和默认配置文件/etc/ld.so.preload的文件内容,并将读取到的动态链接库进行预加载,即使程序不依赖这些动态链接库。
6) 检查定时任务
1、利用crontab创建计划任务
基本命令:
crontab -l :列出某个用户cron服务的详细内容
crontab -r :删除每个用户cront任务(谨慎:删除所有的计划任务)
crontab -e :使用编辑器编辑当前的crontab文件
ls -al /var/spool/cron/ :查看计划任务文件
more /etc/crontab :查看计划任务
2、入侵排查
ls-l /etc/rc* 查看开机启动配置文件
ls-l /etc/init.d 查看启动脚本文件内容是否被修改
重点关注以下目录中是否存在恶意脚本
/var/spool/cron/*
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*
#小技巧
可以使用 more /etc/cron.daily/* 查看目录下的所有文件
root@root:/etc/cron.daily# more /etc/cron.daily/*
::::::::::::::
/etc/cron.daily/0anacron
::::::::::::::
#!/bin/sh
anacron’s cron script
This script updates anacron time stamps. It is called through run-parts
either by anacron itself or by cron.
The script is called “0anacron” to assure that it will be executed
before all other scripts.
test -x /usr/sbin/anacron || exit 0
anacron -u cron.daily
八 检查系统日志
默认位置 /var/log
查看日志配置情况 : more /etc/rsyslog.conf