Windows 入侵排查

2021-10-14 15:19:06 字數 2838 閱讀 7437

當企業發生黑客入侵、系統崩潰或其它影響業務正常執行的安全事件時,急需第一時間進行處理,使企業的網路資訊系統在最短時間內恢復正常工作,進一步查詢入侵**,還原入侵事故過程,同時給出解決方案與防範措施,為企業挽回或減少經濟損失。

常見的應急響應事件分類:

web 入侵:網頁掛馬、主頁篡改、webshell

系統入侵:病毒木馬、勒索軟體、遠控後門

網路攻擊:ddos 攻擊、dns 劫持、arp 欺騙

針對常見的攻擊事件,結合工作中應急響應事件分析和解決的方法,總結了一些 windows 伺服器入侵排查的思路。

一、檢查系統賬號安全

1、檢視伺服器是否有弱口令,遠端管理埠是否對公網開放。

2、檢視伺服器是否存在可疑賬號、新增賬號。

3、檢視伺服器是否存在隱藏賬號、轉殖賬號。

4、結合日誌,檢視管理員登入時間、使用者名稱是否存在異常。

二、 檢查異常埠、程序

1、檢查埠連線情況,是否有遠端連線、可疑連線。

2、程序

3、小技巧:

​ a、檢視埠對應的 pid:netstat -ano | findstr "port"

​ b、檢視程序對應的 pid:任務管理器 – 檢視 – 選擇列 – pid 或者tasklist | findstr "pid"

​ c、檢視程序對應的程式位置:

​ 任務管理器 – 選擇對應程序 – 右鍵開啟檔案位置

​ 執行輸入wmic,cmd 介面輸入process

​ d、tasklist /svc程序 – pid – 服務

​ e、檢視windows服務所對應的埠:

​ %systemroot%/system32/drivers/etc/services(一般 %systemroot% 就是 c:\windows 路徑)

三、檢查啟動項、計畫任務、服務

1、檢查伺服器是否有異常的啟動項。

hkey_local_machine\software\microsoft\windows\currentversion\runonce

檢查右側是否有啟動異常的專案,如有請刪除,並建議安裝防毒軟體進行病毒查殺,清除殘留病毒或木馬。


d、利用安全軟體檢視啟動項、開機時間管理等。


e、組策略,執行 `gpedit.msc`


2、檢查計畫任務


* 檢查方法:


a、單擊【開始】>【設定】>【控制面板】>【任務計畫】,檢視計畫任務屬性,便可以發現木馬檔案的路徑。


b、單擊【開始】>【執行】;輸入 `cmd`,然後輸入 `at`,檢查計算機與網路上的其它計算機之間的會話或計畫任務,如有,則確認是否為正常連線。


3、服務自啟動


* 檢查方法:單擊【開始】>【執行】,輸入 `services.msc`,注意服務狀態和啟動型別,檢查是否有異常服務。


#### 四、 檢查系統相關資訊


1、檢視系統版本以及補丁資訊


* 檢查方法:單擊【開始】>【執行】,輸入 `systeminfo`,檢視系統資訊。


2、查詢可疑目錄及檔案


* 檢查方法:


a、 檢視使用者目錄,新建賬號會在這個目錄生成乙個使用者目錄,檢視是否有新建使用者目錄。
window 2003版本 c:\documents and settings

window 2008r2及以後版本 c:\users\

b、單擊【開始】>【執行】,輸入 `%userprofile%\recent`,分析最近開啟分析可疑檔案。


c、在伺服器各個目錄,可根據資料夾內檔案列表時間進行排序,查詢可疑檔案。


e、修改時間在建立時間之前的為可疑檔案


3、發現並得到 webshell、遠控木馬的建立時間,如何找出同一時間範圍內建立的檔案?


a、利用 [registry workshop]( 登錄檔編輯器的搜尋功能,可以找到最後寫入時間區間的檔案。


b、利用計算機自帶檔案搜尋功能,指定修改時間進行搜尋。


#### 五、 自動化查殺


* 病毒查殺


* webshell查殺


* 檢查方法:選擇具體站點路徑進行webshell查殺,建議使用兩款 webshell 查殺工具同時查殺,可相互補充規則庫的不足。


#### 六、日誌分析


系統日誌


* 分析方法:


a、前提:開啟審核策略,若日後系統出現故障、安全事故則可以檢視系統的日誌檔案,排除故障,追查入侵者的資訊等。


b、win+r 開啟執行,輸入 "eventvwr.msc",回車執行,開啟"事件檢視器"。


c、匯出應用程式日誌、安全日誌、系統日誌,利用 [log parser]( 進行分析。


web 訪問日誌


* 分析方法:


a、找到中介軟體的web日誌,打包到本地方便進行分析。


### 工具篇


#### 病毒分析 


pchunter:


火絨劍:


process explorer:


processhacker:


autoruns:


otl:


sysinspector:


#### 病毒查殺


火絨安全軟體:


360防毒:


#### 病毒動態


cverc-國家計算機病毒應急處理中心:


火絨安全論壇:


愛毒霸社群:


virustotal:


virscan:


jotti 惡意軟體掃瞄系統:


#### webshell查殺


d盾_web查殺:


河馬 webshell 查殺:

Windows入侵問題排查

1 檢視伺服器已有系統或應用帳戶是否存在弱口令 檢查方法 根據實際情況自行確認。風險性 高 2 檢視下伺服器內是否有非系統和使用者本身建立的帳戶 3 檢查是否存在隱藏帳戶名 1 檢查是否存在惡意程序在系統後台執行 1 檢查伺服器內部是否有異常的啟動項 2 檢視正在連線的會話 1 如果您伺服器內有執行...

Windows入侵排查思路

檢查系統是否存在弱口令 可疑賬號 新增賬號 檢查伺服器是否有異常的啟動項 登陸伺服器,單擊開始 所有程式 啟動 預設情況下此目錄是乙個空目錄,確認是否有非業務程式在該目錄下 win r輸入msconfig或開啟任務管理器,檢視是否存在命名異常的啟動專案,是則取消勾選並找到改檔案並刪除 win r輸入...

windows應急響應入侵排查思路

當企業發生黑客入侵 系統崩潰或其它影響業務正常執行的安全事件時,急需第一時間進行處理,使企業的網路資訊系統在最短時間內恢復正常工作,進一步查詢入侵 還原入侵事故過程,同時給出解決方案與防範措施,為企業挽回或減少經濟損失。常見的應急響應事件分類 web入侵 網頁掛馬 主頁篡改 webshell 系統入...