弱密碼的更改
檢視遠端端口是否對外開放 3389
檢視是否有新增可疑賬戶
cmd下
lusrmgr.msc
有可疑就删除或禁用
檢視系統資料庫中的管理者的鍵值對,通過賦予權限e進行檢視
檢視日志資訊
eventvwr.msc
檢視時間檢視器
導出安全日志進行分析利用軟體
導出應用程式日志、安全日志、系統日志,利用Log Parser進行分析。
在利用軟體前要排除後門,根據流量進行檢測
檢視端口及其利用的程序的關系
netstat -ano | findstr LISTENING
看0.0.0.0的
然後根據編号來确定程序
tasklist /svc | findstr 程序号
資料總管是簡單的看
可以使用cmd下的
msinfo32 進行檢視相關日志、程序、路徑
沒有簽名驗證資訊的程序
沒有描述資訊的程序
程序的屬主
程序的路徑是否合法
CPU或記憶體資源占用長時間過高的程序
檢查啟動項、計劃任務、服務
用火絨就行
但在排查總不能給别人安個火絨。。
開始--所有程式--啟動
msconfig檢視可疑啟動相關項,可以項找路徑删除相關檔案
系統資料庫檢視 regedit
關注表
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
運作組政策
gpedit.msc
檢視有無可疑腳本
檢查計劃任務
control到控制台到任務計劃
cmd下的at,檢視計算機和網絡上其他計算機是否有會話或者計劃任務
運作下輸入services.msc檢視服務狀态和啟動類型,檢查可疑異常服務
檢查系統資訊相關
檢視系統資訊
systeminfo,對更新檔進行及時打
檢視可疑目錄在電腦
檢視使用者目錄,建立賬号會在這個目錄生成一個使用者目錄,檢視是否有建立使用者目錄。
Window 2003 C:\Documents and Settings
Window 2008R2 C:\Users\
檢視最近打開
%UserProfile%\Recent
在伺服器目錄對檔案進行時間排序
修改時間在建立時間的是可疑目錄
指定範圍進行搜尋
利用 Registry Workshop 系統資料庫編輯器的搜尋功能,可以找到最後寫入時間區間的檔案
利用計算機自帶檔案搜尋功能,指定修改時間進行搜尋
自動化
安全軟體清除
webshell清除根據路徑,使用多款,互補規則庫
web通路日志分析
找到中間件的web日志,打包本地進行分析
使用軟體編輯器分析
linux使用vim就行了
線上掃毒
http://www.virscan.org
https://habo.qq.com
https://virusscan.jotti.org
http://www.scanvir.com
webshell清除
D盾_Web清除:http://www.d99net.net/index.asp
河馬webshell清除:http://www.shellpub.com
深信服Webshell網站後門檢測工具:http://edr.sangfor.com.cn/backdoor_detection.html
别人都在不停的努力,自己又怎麼會停