记一次文件上传应急响应排查思路

某次应急响应的简单查杀思路(好吧，我承认了，不是应急响应，是应急演练，略略略)
发现应急事件，服务端日志出现告警信息，排查方式如下：

1. 登录管理员用户之后，打开cmd命令行（win+r）查看当前用户
   net user
   查看当前用户
   net localgroup administrators
   查看当前用户组
   

2. 发现可疑管理员用户admin，进入到用户文件夹进行确定，发现新增可疑用户文件夹，此用户存在登录行为，记住在不清楚文件夹内容的时候不要去点
   

3. win+R，输入eventvwr.msc，直接进入事件查看器
   

4. 进入事件查看器后使用全局搜索功能，ctrl + f 检索事件 “4624”登录成功事件信息，查看近期登录用户时间，用户名，缩小排查范围
   

5. 根据排查到的登录日志信息，得知可疑用户为admin，此用户登陆时间为2021年1月14日12：02:01 可根据此信息排查新增文件或者缩小时间范围
   

6. 查看各网站日志，管理员用户是否存在弱口令，查看登录日志是否存在用户远程登录协议暴力破解行为判断入侵点（系统漏洞行为、web传马、框架漏洞）通过web日志得知此处入侵点为web传马，远程攻击者通过对外服务上传webshell脚本文件。文件名为php.php
   

7. 查看此小马，得知此文件为一句话木马，远程攻击者通过上传webshell一句话小马而后得到服务器控制权，通过新增用户而后远程登录服务器进行下一步操作
   

8. 使用影子账户查杀工具查看本地是否存在影子账户（或直接重启服务器后影子账户文件夹也会自动出现$）
   

9. 查看服务器杀毒软件赛门铁克日志，发现拦截大量木马病毒，由此可得出存在后门文件可能性极高
   

10. 查看最近更改的文件夹，分析是否存在其他可疑行为（木马、后门文件、权限维持等）
    键盘输入win+R打开运行窗口输入recent
    

11. 逐个排查文件详情，这些文件很有可能存在恶意脚本文件，最后锁定upload文件夹，发现可疑文件
    

12. 查看进程 使用命令tasklist 命令列出进程netsata -ano 查看端口开放通讯情况
    

13. 进一步排查，C:\Windows\Prefetch 该文件夹存放的是程序的操作记录，文件名为程序名
    

14. 删除可疑进程taskkill /pid 131192 /f /t(pid根据际情况改动即可)
    

15. 删除后门文件，查看计算机定时计划任务（后门文件会利用定时计划任务定期启动木马文件已达到权限维持的目的）
    win+r 输入taskschd.msc
    

16. 删除可疑的计划任务，而后使用D盾进行全盘查杀webshell，使用赛门铁克进行全盘查杀木马文件

17. 删除用户 net user admin /delete 删除用户组出现的所有文件，若是出现拒绝访问情况，建议切换至系统最高管理员进行删除，或进行手动删除
    

18. 手动删除用户：
    单击“计算机”点击鼠标右键，点击“管理”选项，即可进入 计算机管理界面
    

19. 选择administrators管理组，而后手动删除admin用户成员，而后切换至用户界面再次删除admin用户即可
    

20. 移除用户文件夹，若书移除的过程出现此文件夹正在被占用，请移步至资源管理器，切断相关资源句柄即可成功删除（或直接重启计算机）