Windows入侵排查思路手段

windows入侵排查

排查目的

​ 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进行处理，使企业的网络信息系统在最短时间内恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失。

常见的应急响应事件分类：

web入侵：网页挂马、主页篡改、Webshell

系统入侵：病毒木马、勒索软件、远控后门

网络攻击：DDOS攻击、DNS劫持、ARP欺骗

针对常见的攻击事件，结合工作中应急响应事件分析和解决的方法，总结了一些Window服务器入侵排查的思路。

入侵排查思路

• 一、检查系统账号安全

  • 1、查看服务器是否有弱口令，远程管理端口是否对公网开放。

    • 检查方法：据实际情况咨询相关服务器管理员。

  • 2、查看服务器是否存在可疑账号、新增账号。

    • 检查方法：打开 cmd 窗口，输入lusrmgr.msc命令，查看是否有新增/可疑的账号，如有管理员群组的（Administrators）里的新增账户，如有，请立即禁用或删除掉。

  • 3、查看服务器是否存在隐藏账号、克隆账号。

    • 检查方法：

      a、打开注册表 ，查看管理员对应键值。

      b、使用D盾_web查杀工具，集成了对克隆账号检测的功能。

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-po01yBPr-1603368357228)(./image/sum-1-1.png)]

  • 4、结合日志，查看管理员登录时间、用户名是否存在异常。

    • 检查方法：

      a、Win+R打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”。

      b、导出Windows日志–安全，利用Log Parser进行分析。

• 二、检查异