windows系统入侵排查思路
一、检测系统账号
1.查看服务器是否有弱口令,远程管理端口是否对公网开放。
检查方法: 可以根据实际情况咨询相关的负责人。
2.查看服务器是否存在可疑账号、新增账号。
检查方法: 打开 cmd 窗口,输入“lusrmgr.msc”命令,查看是否有新增/ 可疑的账号,如管理员群组的(Administrators)里有新增账户,可以咨询相关负责人是否是已知的账号,若是不知的,请删除该账号。
3.查看服务器是否存在隐藏账号、克隆账号。
检查方法:(1)启动CMD输入regedt32.exe,找到HKEY_LOCAL_MACHINE\SAM\SAM,右击选择权限,使其Administrator拥有完全控制权限。
(2)管理员启动CMD,输入:reg query HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
(2)使用D盾_web查杀工具,查看克隆账号检测。注:若无法正常获取,请使用管理员启动。
4.结合日志,查看管理员登录时间、用户名是否存在异常。
检查方法: (1)Win+R 打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。
4634 - 帐户被注销
4647 - 用户发起注销
4624 - 帐户已成功登录
4625 - 帐户登录失败
4648 - 试图使用明确的凭证登录
参考连接: https://blog.csdn.net/C_chuxin/article/details/84974207
(2)导出 Windows 日志–安全,利用 Log Parser 进行分析。
二、检查异常端口、进程
1.检查端口连接情况,是否有远程连接、可疑连接。
检查方法: (1)打开CMD输入:netstat -ano 查看目前的网络连接,定位可疑的 ESTABLISHED。
(2)根据 netstat 定位出的 pid,再通过 tasklist 命令进行进程定位 tasklist | findstr “PID”
2.进程。
检查方法:(1)开始–运行–输入 msinfo32,依次点击“软件环境→正在运行任务” 就可以查看到进程的详细信息,比如进程路径、进程 ID、文件创建日期、启动时间等.
(2)打开 D 盾_web 查杀工具,进程查看,关注没有签名信息的进程。
(3)使用火绒剑,进程查看,关注没有签名信息的进程。
(4)查看可疑的进程及其子进程。可以通过观察以下内容:
没有签名验证信息的进程
没有描述信息的进程
进程的属主
进程的路径是否合法
CPU 或内存资源占用长时间过高的进程
三、检查启动项、计划任务、服务
1.检查服务器是否有异常的启动项。
检查方法:(1)登录服务器,单击【开始】>【所有程序】>【启动】,默认情况下此目 录在是一个空目录,确认是否有非业务程序在该目录下。
(2)单击开始菜单 >【运行】,输入 msconfig,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。
(3)单击【开始】>【运行】,输入 regedit,打开注册表,查看开机启动项 是否正常,特别注意如下三个注册表项:
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病 毒查杀,清除残留病毒或木马。
(4)使用火绒剑进行启动项管理,查找异常的启动项。
(5)打开CMD输入:gpedit.msc,通过组策略查询异常启动。
2.检查计划任务
检查方法: (1)单击【开始】>【设置】>【控制面板】>【任务计划】,查看计划任务属 性,便可以发现木马文件的路径。
(2)单击【开始】>【运行】;输入 cmd,然后输入 at,检查计算机与网络 上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接。测试使用的是windows11系统,at命令已换成schtasks.exe
3.服务自启动
检查方法: 打开CMD输入:services.msc,注意服务状态 和启动类型,检查是否有异常服务。
四、检查系统相关信息
1.查看系统版本以及补丁信息
检查方法: 打开CMD输入:systeminfo,查看系统版本信息。
2.查找可疑目录及文件
检查方法:(1)查看用户目录,新建账号会在这个目录生成一个用户目录,查看是否 有新建用户目录。
(2)打开CMD输入:%UserProfile%\Recent,显示最近打开的文件,任何进行分析是否存在异常文件。
(3)在服务器各个目录,可根据文件夹内文件列表时间进行排序,查找分析可疑文件。
五、病毒查杀
1.全盘查杀
检查方法: 使用杀毒软件进行全盘扫描查杀,若内部购买了企业版杀毒软件,可以一键将内部多台主机同时杀毒,避免出现遗漏。
2.webshell 查杀
检查方法: 选择具体站点路径进行 webshell 查杀,建议使用两款 webshell 查杀工具同时查杀,可相互补充病毒规则库的不足。
六、日志分析
1.系统日志
注: 需要提前开启审核策略,若日后系统出现故障、安全事故则可以查看系 统的日志文件,排除故障,追查入侵者的信息等。
检查办法: Win+R 打开运行,输入“eventvwr.msc”,回车运行,打开“事件查 看器”。导出应用程序日志、安全日志、系统日志,利用 Log Parser 进行分析。
2.WEB访问日志
检查办法: 找到中间件的 web 日志,打包到本地方便进行分析。
七、相关工具
火绒剑:https://www.huorong.cn
PCHunter:http://www.xuetr.com/
卡巴斯基:https://www.kaspersky.com.cn/
大蜘蛛:https://free.drweb.ru/download+cureit+free
火绒安全:https://www.huorong.cn
360杀毒:http://sd.360.cn/download_center.html
CVERC-国家计算机病毒应急处理中心:https://www.cverc.org.cn/
微步在线:https://x.threatbook.cn/
火绒安全论坛:https://bbs.huorong.cn/forum-59-1.html
腾讯哈勃分析系统:https://habo.qq.com/
云鉴定:http://www.scanvir.com/
D盾_Web查杀:https://www.d99net.net/index.asp
河马webshell查杀:https://www.shellpub.com/