Windows伺服器被入侵後如何實作排查工作,應該從那幾方面入手,排查什麼内容,以下為大家介紹一下。
1. 檢查系統賬号
(1) 檢查遠端管理端口是否對公網開放,伺服器是否存在弱密碼。
檢查方法:
檢查防火牆映射規則,擷取伺服器賬号登入,也可根據實際情況咨詢相關管理者。
(2)檢視伺服器是否存在可疑賬号或新增賬号。
檢查方法:
打開cmd視窗,輸入lusrmgr.msc指令,檢視是否有新增或可疑賬号,如果管理者群組的(Administrators)裡有新增賬戶,請立即删除。
(3)檢視伺服器是否存在隐藏賬号。
檢查方法:
運作CMD指令使用net use,看不到test$這個賬号,但在控制台和本地使用者是可以顯示此使用者的。
(4)Windows日志
檢查方法:
按Win+R,輸入eventvwr.msc,打開事件檢視器檢視管理者登入時間、使用者名、賬号登入情況,比如成功或失敗的次數,是否存在異常。
2. 檢查異常端口
(1)檢查端口連接配接情況
檢查方法:
a. netstat -ano 檢視目前的網絡連接配接,重點是查ESTABLISHED可疑端口。
b. 再通過tasklist指令進行程序定位tasklist | findstr “PID”
(2)檢查可疑的網絡連接配接
檢查方法
檢查是否存在可疑的網絡連接配接,如發現異常,可使用Wireshark網絡抓包輔助分析。
3. 檢查異常程序
檢查是否存在可疑的程序
檢查方法:
Win+R輸入msinfo32,點選軟體環境中的正在運作任務就可以檢視到程序的詳細資訊,比如程序路徑、檔案日期、啟動時間等。
4. 檢查啟動項
(1)檢查異常的啟動項
檢查方法:
a.登入伺服器,單擊【開始】>【所有程式】>【啟動】,預設情況下此目錄是一個空目錄,确認是否有程式在該目錄下。
b.Win+R,輸入msconfig,檢視是否存在異常的啟動項目,如有請删除。
C. Win+R,輸入regedit,打開系統資料庫檢視開機啟動項是否正常
特别注意以下三個系統資料庫項:
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
檢查右側是否有啟動異常的項目,如有請删除,并建議使用防毒軟體進行病毒清除和清除。
5.檢查計劃任務
(1)檢查是否有可疑的腳本執行
檢查方法:
a.單擊【開始】>【設定】>【控制台】>【任務計劃】,檢視計劃任務屬性,便可以發現有可疑檔案的路徑。
b. Win+R,輸入cmd,然後輸入schtasks.exe,本地或遠端電腦上建立、删除、查詢、更改、運作和結束計劃任務,如有請确認是否為正常連接配接。
6. 檢查服務
(1)檢查系統服務名稱、描述和路徑,是否存在異常
檢查方法:
Win+R,輸入services.msc,檢查是否有異常服務。
7. 檢查可疑檔案
(1)檢查建立檔案、最近通路檔案和相關下載下傳目錄
檢查方法:
a.檢視使用者目錄,是否有建立使用者目錄。
b. Win+R,輸入%UserProfile%\Recent,分析最近打開是否有可疑檔案。
c.查找可疑檔案伺服器各個目錄。
d.資源回收筒、浏覽器下載下傳目錄、浏覽器曆史記錄等。
e.檢視檔案的修改時間或建立時間。