Windows入侵排查思路手段

windows入侵排查

排查目的

​ 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。

常见的应急响应事件分类:

web入侵:网页挂马、主页篡改、Webshell

系统入侵:病毒木马、勒索软件、远控后门

网络攻击:DDOS攻击、DNS劫持、ARP欺骗

针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入侵排查的思路。

入侵排查思路

  • 一、检查系统账号安全

    • 1、查看服务器是否有弱口令,远程管理端口是否对公网开放。

      • 检查方法:据实际情况咨询相关服务器管理员。
    • 2、查看服务器是否存在可疑账号、新增账号。

      • 检查方法:打开 cmd 窗口,输入lusrmgr.msc命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。
    • 3、查看服务器是否存在隐藏账号、克隆账号。

      • 检查方法:

        a、打开注册表 ,查看管理员对应键值。

        b、使用D盾_web查杀工具,集成了对克隆账号检测的功能。

      [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-po01yBPr-1603368357228)(./image/sum-1-1.png)]

    • 4、结合日志,查看管理员登录时间、用户名是否存在异常。

      • 检查方法:

        a、Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。

        b、导出Windows日志–安全,利用Log Parser进行分析。

  • 二、检查异

你可能感兴趣的:(后渗透总结,网络)