入侵排查篇— windows入侵排查

文章目錄

• 入侵排查篇--- windows入侵排查
• 前言
• 一、檢查系統賬號安全
• 二、檢查系統賬號安全
• 三、 檢查啟動項、計劃任務、服務
• • 1、檢查服務器是否有異常的啟動項。
  • 2、檢查計劃任務
  • 3、服務自啟動
  • 4. 檢查系統相關信息
  • 5. 自動化查殺
  • 6. 日志分析
• 四、工具篇
• • 1.病毒分析
  • 2. 病毒查殺
  • 3. 病毒動態
  • 4. 在線病毒掃描網站
  • 5. webshell查殺
• 五、我的公眾號

---

前言

當企業發生黑客入侵、系統崩潰或其它影響業務正常運行的安全事件時，急需第一時間進行處理，使企業的網絡信息系 統在短時間內恢復正常工作，進一步查找入侵來源，還原入侵事故過程，同時給出解決方案與防范措施，為企業挽回 或減少經濟損失。
常見的應急響應事件分類：
web入侵：網頁掛馬、主頁篡改、Webshell
系統入侵：病毒木馬、勒索軟件、遠控后門
網絡攻擊：DDOS攻擊、DNS劫持、ARP欺騙 針對常見的攻擊事件，結合工作中應急響應事件分析和解決的方法，總結了一些Window服務器入侵排查的思路。

一、檢查系統賬號安全

①查看是否有弱口令，遠程管理端口是否對外公網開放。
檢查方法：據實際情況咨詢相關
②查看服務器是否存在可疑賬號、新增賬號。 檢查方法：打開 cmd 窗口，輸入 lusrmgr.msc 命令，查看是否有新增/可疑的賬號，如有管理員群組的 （Administrators）里的新增賬戶，如有，請立即禁用或刪除掉。
③查看服務器是否存在隱藏賬號、克隆賬號。
檢查方法： a、打開注冊表 ，查看管理員對應鍵值。
b、使用D盾_web查殺工具，集成了對克隆賬號檢測的功能。

④結合日志，查看管理員登錄時間、用戶名是否存在異常。
檢查方法： a、Win+R打開運行，輸入“eventvwr.msc”，回車運行，打開“事件查看器”。 b、導出Windows日志–安全，利用Log Parser進行分析。

二、檢查系統賬號安全

①檢查端口連接情況，是否有遠程連接、可疑連接。
檢查方法： a、netstat -ano 查看目前的網絡連接，定位可疑的ESTABLISHED
b、根據netstat 定位出的pid，再通過tasklist命令進行進程定位 tasklist | ?ndstr “PID”

②進程
檢查方法：
a、開始–運行–輸入msinfo32，依次點擊“軟件環境→正在運行任務”就可以查看到進程的詳細信息，比如進程路 徑、進程ID、文件創建日期、啟動時間等。 b、打開D盾_web查殺工具，進程查看，關注沒有簽名信息的進程。
c、通過微軟官方提供的 Process Explorer 等工具進行排查 。 d、查看可疑的進程及其子進程。可以通過觀察以下內容：
③小技巧：
a、查看端口對應的PID： netstat -ano | ?ndstr “port” b、查看進程對應的PID：任務管理器–查看–選擇列–PID 或者 tasklist | ?ndstr “PID”
c、查看進程對應的程序位置： 任務管理器–選擇對應進程–右鍵打開文件位置 運行輸入 wmic，cmd界面 輸入 process
d、tasklist /svc 進程–PID–服務
e、查看Windows服務所對應的端口： %system%/system32/drivers/etc/services（一般%system%就是 C:\Windows）

三、 檢查啟動項、計劃任務、服務

1、檢查服務器是否有異常的啟動項。

①檢查方法：
a、登錄服務器，單擊【開始】>【所有程序】>【啟動】，默認情況下此目錄在是一個空目錄，確認是否有非業務 程序在該目錄下。 b、單擊開始菜單 >【運行】，輸入 mscon?g，查看是否存在命名異常的啟動項目，是則取消 勾選命名異常的啟動項目，并到命令中顯示的路徑刪除文件。
c、單擊【開始】>【運行】，輸入 regedit，打開注 冊表，查看開機啟動項是否正常，特別注意如下三個注冊表項： HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce 檢查右側是否有啟動異常的項 目，如有請刪除，并建議安裝殺毒軟件進行病毒查殺，清除殘留病毒或木馬。
d、利用安全軟件查看啟動項、開機時間管理等。
e、組策略，運行gpedit.msc。

2、檢查計劃任務

檢查方法：
a、單擊【開始】>【設置】>【控制面板】>【任務計劃】，查看計劃任務屬性，便可以發現木馬文件的路徑。
b、單擊【開始】>【運行】；輸入 cmd，然后輸入at，檢查計算機與網絡上的其它計算機之間的會話或計劃任 務，如有，則確認是否為正常連接。

3、服務自啟動

檢查方法：單擊【開始】>【運行】，輸入services.msc，注意服務狀態和啟動類型，檢查是否有異常服務。

4. 檢查系統相關信息

1、查看系統版本以及補丁信息
檢查方法：單擊【開始】>【運行】，輸入systeminfo，查看系統信息
2、查找可疑目錄及文件
檢查方法：
a、 查看用戶目錄，新建賬號會在這個目錄生成一個用戶目錄，查看是否有新建用戶目錄。 Window 2003 C:\Documents and Settings Window 2008R2 C:\Users\
b、單擊【開始】>【運行】，輸入%UserPro?le%\Recent，分析近打開分析可疑文件。
c、在服務器各個目錄，可根據文件夾內文件列表時間進行排序，查找可疑文件。
d、回收站、瀏覽器下載目錄、瀏覽器歷史記錄
e、修改時間在創建時間之前的為可疑文件
3、得到發現WEBSHELL、遠控木馬的創建時間，如何找出同一時間范圍內創建的文件？
a、利用 Registry Workshop 注冊表編輯器的搜索功能，可以找到后寫入時間區間的文件。
b、利用計算機自帶文件搜索功能，指定修改時間進行搜索。

5. 自動化查殺

病毒查殺
檢查方法：下載安全軟件，更新新病毒庫，進行全盤掃描。
webshell查殺
檢查方法：選擇具體站點路徑進行webshell查殺，建議使用兩款webshell查殺工具同時查殺，可相互補充規 則庫的不足。

6. 日志分析

系統日志
分析方法：
a、前提：開啟審核策略，若日后系統出現故障、安全事故則可以查看系統的日志文件，排除故障，追查入侵者的 信息等。
b、Win+R打開運行，輸入“eventvwr.msc”，回車運行，打開“事件查看器”。
C、導出應用程序日志、安全日志、系統日志，利用Log Parser進行分析。
WEB訪問日志
分析方法：
a、找到中間件的web日志，打包到本地方便進行分析。
b、推薦工具：Window下，推薦用 EmEditor 進行日志分析，支持大文本，搜索效率還不錯。 Linux下，使用Shell命令組合查詢分析。

四、工具篇

1.病毒分析

PCHunter：http://www.xuetr.com 火絨劍：https://www.huorong.cn Process Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer processhacker：https://processhacker.sourceforge.io/downloads.php autoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns OTL：https://www.bleepingcomputer.com/download/otl/ SysInspector：http://download.eset.com.cn/download/detail/?product=sysinspector

2. 病毒查殺

卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe （推薦理由：綠色版、新病 毒庫） 大蜘蛛：http://free.drweb.ru/download+cureit+free（推薦理由：掃描快、一次下載只能用1周，更新病毒庫） 火絨安全軟件：https://www.huorong.cn 360殺毒：http://sd.360.cn/download_center.html

3. 病毒動態

CVERC-國家計算機病毒應急處理中心：http://www.cverc.org.cn 微步在線威脅情報社區：https://x.threatbook.cn 火絨安全論壇：http://bbs.huorong.cn/forum-59-1.html 愛毒霸社區：http://bbs.duba.net 騰訊電腦管家：http://bbs.guanjia.qq.com/forum-2-1.html

4. 在線病毒掃描網站

http://www.virscan.org //多引擎在線病毒掃描網 v1.02，當前支持 41 款殺毒引擎 https://habo.qq.com //騰訊哈勃分析系統 https://virusscan.jotti.org //Jotti惡意軟件掃描系統 http://www.scanvir.com //針對計算機病毒、手機病毒、可疑文件等進行檢測分析

5. webshell查殺

D盾_Web查殺：http://www.d99net.net/index.asp 河馬webshell查殺：http://www.shellpub.com 深信服Webshell網站后門檢測工具：http://edr.sangfor.com.cn/backdoor_detection.html Safe3：http://www.uusec.com/webshell.zip

五、我的公眾號

后續操作請持續關注哦！！！
了解更多請關注下列公眾號：
😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗😗😗😗😗😗😗😗😗

😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗😗😗😗😗😗😗😗😗

總結

以上是生活随笔為你收集整理的入侵排查篇--- windows入侵排查的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。