Technical articles
Windows系统被(bèi)入侵後(hòu),通常會(huì)報明导致系统资源占用過(guò)高、异常端口和進(jìn)程、可疑的账号或文短熱件等,给业务系统带来不稳定等诸多问题。
Windows系统被(bèi)入侵後(hòu),通常會(huì)导致系统资源鄉少占用過(guò)高、异常端口和進(jìn)程、可疑的账号或文件等,给业务系用妹统带来不稳定等诸多问题。
一些病毒木马會(huì)随著(zhe)计算机启动而启动并获取一定的控制权,自都启动方式多種(zhǒng)多樣(yàng),比如注册表、服务、计妹理划任务等,這(zhè)些都(dōu)是需要重点排查的地方。另外,需電熱要重点关注服务器日志信息,并从裡(lǐ)面(miàn)挖掘有价值的玩好信息。
基于以上,我们总结了Windows服务器入侵排查的思路,从Windows是是入侵现象、启动方式、安全日志等方面(miàn),對(duì)服务器最容易湖房出现安全问题的地方進(jìn)行入手排查。
(1)检查远程管理端口是否對(duì)公网開(kāi)放,服务器是否存在湖坐弱口令。
检查方法:
检查防火墙映射规则,获取服务器账号登录,也可据实际情况咨询相关管理员。
(2)查看服务器是否存在可疑账号、新增账号。
检查方法:
打開(kāi) cmd 窗口,输入lusrmgr.msc命令,查厭草看是否有新增/可疑的账号,如有管理员群组的(Administrator土舊s)裡(lǐ)的新增账户,根据实际应用情况,保留或删除。
(3)查看服务器是否存在隐藏账号、克隆账号。
检查隐藏账号方法:
CMD命令行使用”net user”,看不到(dào)”test$”道煙這(zhè)个账号,但在控制面(miàn)板和本地用户和组是可以显亮要示此用户的。
检查克隆账号方法:
打開(kāi)注册表 ,查看管理员對(duì)应键值。
使用D盾_web查杀工具,集成(chéng)了對(duì)克隆账号检测的功能美店(néng)。
(4)结合Windows安全日志,查看管理员登录時(shí)鐵一间、用户名是否存在异常。
检查方法:
Win+R打開(kāi)运行,输入“eventvwr.msc”,短服回车运行,打開(kāi)“事(shì)件查看器”。或者我们可以导出Win裡話dows日志—安全,利用Log Parser進(jìn)行分析。
(1)检查端口连接情况
检查方法:
a、netstat -ano 查看目前的网络连接,定位可疑的E筆愛STABLISHED
b、根据netstat 定位出的pid,再通過(guò)tas間我klist命令進(jìn)行進(jìn)程定位 tasklist | find物北str “PID”
(2)检查可疑的网络连接
检查方法
检查是否存在可疑的网络连接,如發(fā)现异常,可使用Wiresha會訊rk网络抓包辅助分析。
(1)检查是否存在可疑的進(jìn)程
检查方法:
a、開(kāi)始—运行—输入msinfo32,依次点击“软件环境→正在年市运行任务”就(jiù)可以查看到(dào)進(jìn)程的详细信息,比你算如進(jìn)程路径、進(jìn)程ID、文件创建日期、启动時飛說(shí)间等。
b、打開(kāi)D盾_web查杀工具,進(jìn)程查看,关注沒(méi)商場有签名信息的進(jìn)程。
c、通過(guò)微软官方提供的 Process Explorer 等工具進(小對jìn)行排查 。
d、查看可疑的進(jìn)程及其子進(jìn)程。可以通過(guò)观察雨兒以下内容:
沒(méi)有签名验证信息的進(jìn)程
沒(méi)有描述信息的進(jìn)程
進(jìn)程的属主
進(jìn)程的路径是否合法
CPU或内存资源占用長(cháng)時(shí)间過(guò)高上不的進(jìn)程
(2)如何找到(dào)進(jìn)程對(duì)应的程序位置
任务管理器—选择對(duì)应進(jìn)程—右键打開(kāi黃銀)文件位置
运行输入 wmic,cmd界面(miàn) 输入 process
(1)检查服务器是否有异常的启动项。
检查方法:
a、登录服务器,单击【開(kāi)始】>【所有程序】>【启动】,妹錢默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。
b、单击開(kāi)始菜单 >【运行】,输入 msconfig,查看學間是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到(dào秒內)命令中显示的路径删除文件。
c、单击【開(kāi)始】>【运行】,输入 regedit,鄉國打開(kāi)注册表,查看開(kāi)机启动项是否正常,
特别注意如下三个注册表项:
HKEY_CURRENT_USERsoftwaremicorsof輛熱twindowscurrentversion un &n喝站bsp;HKEY_LOCAL_MACHINESoftwareMicroso動大ftWindowsCurrentVersionRun 金火HKEY_LOCAL_MACHINESoftwareMicrosoftWin朋我dowsCurrentVersionRunonce
检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件進(j飛個ìn)行病毒查杀,清除残留病毒或木马。
d、利用安全软件查看启动项、開(kāi)机時(shí)间管理等。
e、组策略,运行gpedit.msc。
(1)检查计划任务裡(lǐ)是否有可疑的脚本执行
检查方法:
a、单击【開(kāi)始】>【设置】>【控制面(m紅答iàn)板】>【任务计划】,查看计划任务属性,便可以發(fā)月視现木马文件的路径。
b、单击【開(kāi)始】>【运行】;输入 cmd,然後(h店數òu)输入at,检查计算机与网络上的其它计算机之间的會(huì小站)话或计划任务,如有,则确认是否为正常连接。
(1)检查系统服务名称、描述和路径,确认是否异常
检查方法:
单击【開(kāi)始】>【运行】,输入services.msc,注意得們服务状态和启动类型,检查是否有异常服务。
(1)检查新建文件、最近访问文件和相关下载目录等
检查方法:
a、 查看用户目录,新建账号會(huì)在這(zhè)个目录生成(chéng)爸商一个用户目录,查看是否有新建用户目录。
Window 2003 C:Documents and Settings
Window 2008R2 C:Users
b、单击【開(kāi)始】>【运行】,输入%UserProfil頻舊e%Recent,分析最近打開(kāi)分析可疑文件。
c、在服务器各个目录,可根据文件夹内文件列表時(shí)间進(jìn)行視動排序,查找可疑文件。
d、回收站、浏览器下载目录、浏览器历史记录
e、修改時(shí)间在创建時(shí)间之前的为可疑文件
(2)發(fā)现一个WEBSHELL或远控木马的创建時(shí師不)间,如何找出同一時(shí)间范围内创建的文件?
检查方法:
a、利用 Registry Workshop 注册表编辑器的搜索功微頻能(néng),可以找到(dào)最後(hòu)写入時(shí)间区间的文件。分費
b、利用计算机自带文件搜索功能(néng),指定修改時(sh物文í)间進(jìn)行搜索。
(1)检查系统安全日志
一般来說(shuō),可以通過(guò)检查Windows安全日志来获悉亮員账号登录情况,比如成(chéng)功/失败的次数。
LogParser.exe -i:EVT&nb門做sp;–o:DATAGRID "SELECT 火亮; EXTRACT_TOKEN(Strings,1河農0,'|') as Event小地Type, EXTRACT_TOKEN(Strings,玩可5,'|') as user場影, count(EXTRACT_TOKEN(Strings,紅廠19,'|')) as 暗知Times,EXTRACT_TOKEN(Strings,19,'鄉身;|') as LoginIp&數火nbsp;FROM F:security.evtx&放很nbsp;where EventID=4625 G多都ROUP BY Strings"
(2)历史命令记录
高版本Powershell會(huì)记录PowerShell的命令兒現,所有的PowerShell命令將(jiāng)會(huì)保存在固定位民道置:
%appdata%MicrosoftWindowsPowerS得爸hellPSReadlineConsoleHost_history.txt
查看PowerShell历史记录:
Get-Content (Get-PSReadlineOptio麗紙n).HistorySavePath
默认Powershell v5支持,Powershell v熱妹3和Powershell v4,需要安装Get-PSReadlineOptio物南n後(hòu)才可以使用。