发现windows主机异常,进一步就是对主机进行排查,溯源
1.事件查看器(eventvwr)查看操作系统的系统日志和安全日志,看是否有可疑行为,可导出系统日志(C:\Windows\System32\winevt\Logs),使用日志分析工具可以更加快速进行分析。
安全日志中查看登录成功和登录失败情况,查看事件ID4624和4625;看是否有异常登录情况,比如ID 10和ID 2是远程登录;检查创建新进程列表事件ID:4688 ;进程终止事件ID: 4689。
2.检查系统进程(taskmgr)、启动项(msconfig)、服务(services),检查是否异常进程,启动项和服务。
3.查看有没有新建用户;net user
4.检查端口启用连接情况: netstat –an
5.检查补丁更新情况:systeminfo
6.使用深信服webshell查杀工具和D盾查杀工具,火绒防病毒软件,对系统进行全盘扫描查杀,看是否存在webshell文件及其他恶意文件。
7.查看应用软件的访问日志,安全日志等(Apache 、Nginx、IIS)
IIS日志路径:
Windows Server 2008 R2、2012、2016、2019 iis7以上日志路径:C:\inetpub\logs\LogFiles
Windows Server 2003 iis6日志路径:C:\Windows\System32\LogFiles
Apache 日志路径:
Windows: <Apache安装目录>\logs\access.log | error.log
Linux: /usr/local/apache/logs/access_log | error_log