Window入侵排查思路-应急响应实战笔记

news2024/12/25 9:25:08
0x00 前言
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系 统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回 或减少经济损失。
常见的应急响应事件分类:
web 入侵:网页挂马、主页篡改、 Webshell
系统入侵:病毒木马、勒索软件、远控后门
网络攻击: DDOS 攻击、 DNS 劫持、 ARP 欺骗
针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Window 服务器入侵排查的思路。
0x01 入侵排查思路
1.1 检查系统账号安全
1 、查看服务器是否有弱口令,远程管理端口是否对公网开放。
检查方法:据实际情况咨询相关服务器管理员。
2 、查看服务器是否存在可疑账号、新增账号。
检查方法:打开 cmd 窗口,输入 lusrmgr.msc 命令,查看是否有新增 / 可疑的账号,如有管理员群组的 (Administrators )里的新增账户,如有,请立即禁用或删除掉。
3 、查看服务器是否存在隐藏账号、克隆账号。
检查方法:
a 、打开注册表 ,查看管理员对应键值。
b 、使用 D _web 查杀工具,集成了对克隆账号检测的功能。

4、结合日志,查看管理员登录时间、用户名是否存在异常。 

检查方法:

aWin+R打开运行,输入“eventvwr.msc” ,回车运行,打开事件查看器b、导出Windows日志--安全,利用Log Parser进行分析。

1.2 检查异常端口、进程

1、检查端口连接情况,是否有远程连接、可疑连接。

  检查方法:

anetstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED

b、根据netstat 定位出的pid,再通过tasklist命令进行进程定位 tasklist | findstr “PID

2 、进程
检查方法:
a 、开始 -- 运行 -- 输入 msinfo32 ,依次点击 软件环境 正在运行任务 就可以查看到进程的详细信息,比如进程路
径、进程 ID 、文件创建日期、启动时间等。
b 、打开 D _web 查杀工具,进程查看,关注没有签名信息的进程。 c 、通过微软官方提供的 Process Explorer 等工具进行排查 。
d 、查看可疑的进程及其子进程。可以通过观察以下内容:
没有签名验证信息的进程
没有描述信息的进程
进程的属主
进程的路径是否合法
CPU 或内存资源占用长时间过高的进程
3 、小技巧:
a 、查看端口对应的 PID netstat -ano | findstr “port”
b 、查看进程对应的 PID :任务管理器 -- 查看 -- 选择列 --PID 或者 tasklist | findstr “PID”
c 、查看进程对应的程序位置:
任务管理器 -- 选择对应进程 -- 右键打开文件位置
运行输入 wmic cmd 界面 输入 process
d tasklist /svc 进程 --PID-- 服务
e 、查看 Windows 服务所对应的端口: %system%/system32/drivers/etc/services (一般 %system% 就是 C:\Windows)
1.3 检查启动项、计划任务、服务
1 、检查服务器是否有异常的启动项。
检查方法:
a 、登录服务器,单击【开始】 > 【所有程序】 > 【启动】,默认情况下此目录在是一个空目录,确认是否有非业务
程序在该目录下。 b 、单击开始菜单 > 【运行】,输入 msconfig ,查看是否存在命名异常的启动项目,是则取消
勾选命名异常的启动项目,并到命令中显示的路径删除文件。 c 、单击【开始】 > 【运行】,输入 regedit ,打开注
册表,查看开机启动项是否正常,特别注意如下三个注册表项:
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce 检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。
d 、利用安全软件查看启动项、开机时间管理等。
e 、组策略,运行 gpedit.msc

 

2 、检查计划任务
检查方法:
a 、单击【开始】 > 【设置】 > 【控制面板】 > 【任务计划】,查看计划任务属性,便可以发现木马文件的路径。
b 、单击【开始】 > 【运行】;输入 cmd ,然后输入 at ,检查计算机与网络上的其它计算机之间的会话或计划任
务,如有,则确认是否为正常连接。
3 、服务自启动
检查方法:单击【开始】 > 【运行】,输入 services.msc ,注意服务状态和启动类型,检查是否有异常服务。
1.4 检查系统相关信息
1 、查看系统版本以及补丁信息
检查方法:单击【开始】 > 【运行】,输入 systeminfo ,查看系统信息
2 、查找可疑目录及文件
检查方法:
a 、 查看用户目录,新建账号会在这个目录生成一个用户目录,查看是否有新建用户目录。
Window 2003 C:\Documents and Settings
Window 2008R2 C:\Users\
b 、单击【开始】 > 【运行】,输入 %UserProfile%\Recent ,分析最近打开分析可疑文件。
c 、在服务器各个目录,可根据文件夹内文件列表时间进行排序,查找可疑文件。 d 、回收站、浏览器下载目录、浏览器历史记录
e 、修改时间在创建时间之前的为可疑文件
3 、得到发现 WEBSHELL 、远控木马的创建时间,如何找出同一时间范围内创建的文件?
a 、利用 Registry Workshop 注册表编辑器的搜索功能,可以找到最后写入时间区间的文件。
b 、利用计算机自带文件搜索功能,指定修改时间进行搜索。
1.5 自动化查杀
病毒查杀
检查方法:下载安全软件,更新最新病毒库,进行全盘扫描。
webshell 查杀
检查方法:选择具体站点路径进行 webshell 查杀,建议使用两款 webshell 查杀工具同时查杀,可相互补充规则库的不足。
1.6 日志分析
系统日志
分析方法:
a 、前提:开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的 信息等。
b Win+R 打开运行,输入 “eventvwr.msc” ,回车运行,打开 事件查看器
C 、导出应用程序日志、安全日志、系统日志,利用 Log Parser 进行分析。
WEB 访问日志
分析方法:
a 、找到中间件的 web 日志,打包到本地方便进行分析。
b 、推荐工具: Window 下,推荐用 EmEditor 进行日志分析,支持大文本,搜索效率还不错。
Linux 下,使用 Shell 命令组合查询分。
0x02 工具篇
2.1 病毒分析
PCHunter http://www.xuetr.com
火绒剑: https://www.huorong.cn
Process Explorer https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
processhacker https://processhacker.sourceforge.io/downloads.php
autoruns https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL https://www.bleepingcomputer.com/download/otl/
SysInspector http://download.eset.com.cn/download/detail/?product=sysinspector
2.2 病毒查杀 卡巴斯基: http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe (推荐理由:绿色版、最新病毒库)
大蜘蛛: http://free.drweb.ru/download+cureit+free (推荐理由:扫描快、一次下载只能用 1 周,更新病毒库)
火绒安全软件: https://www.huorong.cn
360 杀毒: http://sd.360.cn/download_center.html
2.3 病毒动态
CVERC- 国家计算机病毒应急处理中心: http://www.cverc.org.cn
微步在线威胁情报社区: https://x.threatbook.cn
火绒安全论坛: http://bbs.huorong.cn/forum-59-1.html
爱毒霸社区: http://bbs.duba.net
腾讯电脑管家: http://bbs.guanjia.qq.com/forum-2-1.html
2.4 在线病毒扫描网站
http://www.virscan.org // 多引擎在线病毒扫描网 v1.02 ,当前支持 41 款杀毒引擎
https://habo.qq.com // 腾讯哈勃分析系统
https://virusscan.jotti.org //Jotti 恶意软件扫描系统
http://www.scanvir.com // 针对计算机病毒、手机病毒、可疑文件等进行检测分析
2.5 webshell 查杀
D _Web 查杀: http://www.d99net.net/index.asp
河马 webshell 查杀: http://www.shellpub.com
深信服 Webshell 网站后门检测工具: http://edr.sangfor.com.cn/backdoor_detection.html
Safe3 http://www.uusec.com/webshell.zip

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2216443.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

对接优惠折扣影票接口有什么好处?

对接电影票接口可以为开发者、商家和用户提供多种好处,以下是一些主要优势: 便捷性:用户可以直接在应用程序或网站上查询电影信息、选择座位和购票,无需离开平台即可完成整个购票流程。 提高用户粘性:为用户提供一站式…

无锁队列实现(Michael Scott),伪代码与c++实现

一、Michael & Scoot 原版伪代码实现 structure pointer_t {ptr: pointer to node_t, count: unsigned integer}structure node_t {value: data type, next: pointer_t}structure queue_t {Head: pointer_t, Tail: pointer_t}initialize(Q: pointer to queue_t)node new_…

薪资管理系统原型PC端+移动端 Axure原型 交互设计 Axure实战项目

薪资管理系统原型PC端移动端 Salary Management System Prototype 薪资管理系统原型图是一种以图形化方式展示系统界面和功能交互的设计图形。该原型图旨在呈现薪资管理系统的整体架构、界面布局和用户交互流程,为开发团队和利益相关者提供一个清晰而具体的概念。…

CSS 实战录: 双栏、四等分、不等间距、自适应...

引言 一个当初困扰我许久的设计稿还原问题, 故在此做个简单记录!! 设计稿布局大概如下图所示 整体分为左右两部分同时划分了模块 A B C DA B C 之间的间距为 24px, C D 之间的间距为 64px整体宽度 100% 自适应铺满, 并且 A B C D 宽度保持一致 那么问题来了, 假设给出下面 DO…

Python | Leetcode Python题解之第473题火柴拼正方形

题目&#xff1a; 题解&#xff1a; class Solution:def makesquare(self, matchsticks: List[int]) -> bool:totalLen sum(matchsticks)if totalLen % 4:return FalsetLen totalLen // 4dp [-1] * (1 << len(matchsticks))dp[0] 0for s in range(1, len(dp)):fo…

【市场解读】传统到端到端的智驾分水岭已至

参考文献&#xff1a;平安证券《汽车行业深度报告&#xff1a;智驾分水岭已至》 关键词学习 端到端智驾系统end to end “端到端”智驾是一种新的智能驾驶技术&#xff0c;不再依赖于传统的感知原件&#xff0c;而是通过算法、AI、模型架构数据迭代来实现自主学习和思考能力…

MySQL数据库从入门到精通 第1讲 基本概念

MySQL数据库从入门到精通 第1讲 基本概念 小可爱们&#xff0c;接下来我们要学习的知识是数据库相关的知识&#xff0c;从本贴开始&#xff0c;从0基础带大家入门到精通&#xff0c;要加油哦~ 1 前言 1.1 为什么要学习数据库&#xff1f; 那我们首先要搞清楚第一个问题&…

深入了解EasyNVR及EasyNVS,EasyNVR连接到EasyNVS当显示授权超时如何解决?又因为什么原因?

我们先来了解NVR批量管理软件/平台EasyNVR&#xff0c;它深耕市场多年&#xff0c;为用户提供多种协议&#xff0c;兼容多种厂商设备&#xff0c;包括但不限于支持海康&#xff0c;大华&#xff0c;宇视&#xff0c;萤石&#xff0c;天地伟业&#xff0c;华为设备。 NVR录像机…

华为FreeBuds 6i戴久了会耳朵胀痛吗?该怎么办?

华为FreeBuds 6i戴久了&#xff0c;会有耳朵胀痛的感觉吗&#xff1f;其实可能是没选对适合自己的耳塞&#xff0c;给你们分享几个佩戴更舒服的方法&#xff0c;一起来看看~ 首先和大家说说为什么华为FreeBuds 6i戴久了不舒服&#xff0c;一方面是耳塞尺寸不合适&#xff0c;另…

Visual Studio 2022 配置 Boost 库

一、使用预编译版本 尽量不要使用预编译版本&#xff0c;因为可能构建的不完全&#xff0c;还得重新构建&#xff0c;不如一步到位 1. 下载预编译的 Boost 库 下载&#xff1a;Boost C Libraries - Browse /boost-binaries at SourceForge.net 2. 选择 msvc 版本&#xff0…

如何将一张图片分成四份,四宫格?图片分割的8种简单方法

如何将一张图片分成四份&#xff0c;四宫格&#xff1f;在日常的图像处理任务中&#xff0c;我们时常会遇到各种特殊的需求。今天&#xff0c;我就遇到了一项颇具挑战性的任务——在特殊情况下&#xff0c;需要将一张图片精确地分成四份&#xff0c;形成一个标准的四宫格。这项…

SQL第15课——插入数据

介绍利用SQL的insert语句将数据插入表中。 15.1 数据插入 select是最常用的语句&#xff0c;但是还有3个常用的SQL语句&#xff0c;第一个就是insert&#xff0c; insert&#xff1a;用来将行插入&#xff08;或添加&#xff09;到数据库表。插入的3中方式&#xff1a; 1. …

光伏仿真系统在光伏项目开发中有哪些应用场景?

光伏仿真系统在光伏项目开发中的应用场景广泛&#xff0c;涵盖了从项目规划、设计优化到运维管理的全过程。 一、项目规划与选址 1、气象模拟与评估 光伏仿真系统能够基于历史气象数据和先进的预测模型&#xff0c;模拟不同地理位置、不同季节和时间段的光照强度、温度、湿度…

网络层及ip报头

★★★★★默写&#xff1a; A类&#xff1a;0~127 B类&#xff1a;128~191 C类&#xff1a;192~223 A类私网&#xff1a;10.0.0 - 10.255.255.255 B类私网&#xff1a;172.16.0.0 - 172.31.255.255 C类私网&#xff1a;19.168.0.0 - 192.168.255.255 特殊&#xff1a; 0.0.0…

百度智能云新一代云原生产品加速 AI 原生应用落地

本文整理自百度云智峰会 2024 —— 云原生论坛的同名演讲。 今天为大家分享在过去的一年里&#xff0c;围绕 AI 原生的大背景下&#xff0c;百度智能云在基础公有云的计算、存储、网络以及云原生等产品和技术方面所做出的核心工作。 随着大模型所带来的 AI 技术的代际演化&…

用Spring AI 做智能客服,基于私有知识库和RAG技术

Java智能客服系统运用RAG技术提升答疑精准度 基于Spring ai 的 RAG&#xff08;检索增强生成&#xff09;技术&#xff0c;Java智能客服系统能够利用私有知识库中的信息提供更准确的答疑服务。 它的核心思路是&#xff1a; 首先&#xff0c;将客服QA以Word形式导入到系统中&…

python配合yolo分类模型开发分类软件

上一篇文章写了yolo的分类模型的训练&#xff0c;写篇文章基于yolo分类模型开发分类软件。开发环境:pycharm&#xff0c;PySide6 6.6.1 &#xff0c;PySide6-Addons 6.6.1&#xff0c;PySide6-Essentials 6.6.1&#xff0c;torch 2.3.1cu121&#xff0c;torchaudio 2.3.1cu121&…

能源领域下暖通行业现状-研究

基于AI大语言模型的暖通行业能源管理系统构建研究 一、能源管理中的突出问题 1. **能源消耗监测不准确** 现有的监测系统在获取设备实时能耗数据方面存在精度不足的问题&#xff0c;难以准确反映能源的实际使用情况。这使得节能决策缺乏可靠的数据支持&#xff0c;无法精准定位…

Hbase安装及使用

安装 官网下载:Apache HBase – Apache HBase Downloads 启动 先启动zookeeper及hadoop 关系&#xff1a;HBase通过Zookeeper来做master的高可用、RegionServer的监控、元数据的入口以及集群配置的维护等工作。 再启动start-hbase.sh(/opt/module/hbase-2.2.3/bin&#xf…

大华智能云网关注册管理平台 SQL注入漏洞复现(CNVD-2024-38747)

0x01 产品简介 大华智能云网关注册管理平台是一款专为解决社会面视频资源接入问题而设计的高效、便捷的管理工具,平台凭借其高效接入、灵活部署、安全保障、兼容性和便捷管理等特点,成为了解决社会面视频资源接入问题的优选方案。该平台不仅提高了联网效率,降低了联网成本,…