网络安全——应急响应之入侵排查

一、windows入侵排查

1.入侵排查思路

1.1 检查系统账号安全

1.查看服务器是否有弱口令、远程管理端口是否对公网开放

(根据实际情况咨询相关服务器管理员)

2.检查服务器是否存在可疑账号、新增账号

(打开cmd窗口,输入lusrmgr.msc命令,查看是否有可疑或者新增的账号,若存在管理员Administrators群组内新增的账户,请立即禁用或者删除)

网络安全——应急响应之入侵排查_第1张图片

3.查看服务器注册表是否存在隐藏账号、克隆账号

(打开注册表–regedit.exe或者regedit,查看管理员对应键值)

网络安全——应急响应之入侵排查_第2张图片

(使用D盾查杀工具,集成了对克隆账号检测的功能)
网络安全——应急响应之入侵排查_第3张图片

4.结合日志,查看管理员登陆时间、用户名是否存在异常

(使用命令提示符,输入eventvwr.msc,打开事件查看器)

网络安全——应急响应之入侵排查_第4张图片

(导出windows日志–安全,利用微软官方工具 Log Parser 进行分析)

网络安全——应急响应之入侵排查_第5张图片

1.2 检查异常端口、进程

1.检查端口连接情况,是否有远程连接或者可疑连接

(使用netstat -ano命令查看当前的网络连接,查找可疑的ESTABLISHED)

netstat -ano | findstr ESTAB  一定要看

(根据netstat命令定位的PID编号,再通过tasklist命令进行进程定位)

tasklist | findstr “PID”

网络安全——应急响应之入侵排查_第6张图片

2.进程

(命令提示符输入msinfo32,点击软件环境–正在运行任务,查看进程的详细信息)

网络安全——应急响应之入侵排查_第7张图片

(使用D盾或者火绒剑查杀工具,关注没有签名信息的进程)

(通过微软官方提供的Process Explorer等工具进行排查)

(查看可以的进程以及子进程,观察以下内容:)

没有签名验证信息的进程

没有描述信息的进程

进程的属主

进程的路径是否合法

cpu或者内存资源占用长时间过高的进程

3.技巧

a.查看端口对应的PID:

netstat -ano | findstr “PORT”

网络安全——应急响应之入侵排查_第8张图片

b.查看进程对应的PID:任务管理器----查看----选择列—PID

网络安全——应急响应之入侵排查_第9张图片

 tasklist | findstr “PID”

网络安全——应急响应之入侵排查_第10张图片

c.查看进程对应的程序位置:任务管理器–选择对应进程–右键打开文件位置
网络安全——应急响应之入侵排查_第11张图片

命令提示符输入wmic,cmd界面输入process

网络安全——应急响应之入侵排查_第12张图片

d.在cmd界面输入tasklist,列出所有进程;或者在任务管理器中选择服务,查看所有进程及所属PID
网络安全——应急响应之入侵排查_第13张图片

e.查看Windows服务所对应的端口:

​ %systemroot%/system32/drivers/etc/services(一般 %systemroot% 就是 C:\Windows 路径)

1.3 检查启动项、计划任务、服务

1.检查服务器是否有异常的启动项

a.登陆服务器,单机开始–所有程序–启动,默认情况为空目录,确认是否有非业务程序在该目录下

b.单击开始–运行–msconfig,查看是否存在命名异常的启动项目,若存在,则取消勾选命名异常的启动项目,并且根据显示路径删除文件

c.单击开始–运行–regedit,打开注册表,查看开机启动项是否正常,特别注意以下三个注册表项

你可能感兴趣的:(笔记,网络安全,web安全,服务器,安全)