Windows服务器被入侵后如何实现排查工作,应该从那几方面入手,排查什么内容,以下为大家介绍一下。
1. 检查系统账号
(1) 检查远程管理端口是否对公网开放,服务器是否存在弱口令。
检查方法:
检查防火墙映射规则,获取服务器账号登录,也可根据实际情况咨询相关管理员。
(2)查看服务器是否存在可疑账号或新增账号。
检查方法:
打开cmd窗口,输入lusrmgr.msc命令,查看是否有新增或可疑账号,如果管理员群组的(Administrators)里有新增账户,请立即删除。
(3)查看服务器是否存在隐藏账号。
检查方法:
运行CMD命令使用net use,看不到test$这个账号,但在控制面板和本地用户是可以显示此用户的。
(4)Windows日志
检查方法:
按Win+R,输入eventvwr.msc,打开事件查看器查看管理员登录时间、用户名、账号登录情况,比如成功或失败的次数,是否存在异常。
2. 检查异常端口
(1)检查端口连接情况
检查方法:
a. netstat -ano 查看目前的网络连接,重点是查ESTABLISHED可疑端口。
b. 再通过tasklist命令进行进程定位tasklist | findstr “PID”
(2)检查可疑的网络连接
检查方法
检查是否存在可疑的网络连接,如发现异常,可使用Wireshark网络抓包辅助分析。
3. 检查异常进程
检查是否存在可疑的进程
检查方法:
Win+R输入msinfo32,点击软件环境中的正在运行任务就可以查看到进程的详细信息,比如进程路径、文件日期、启动时间等。
4. 检查启动项
(1)检查异常的启动项
检查方法:
a.登录服务器,单击【开始】>【所有程序】>【启动】,默认情况下此目录是一个空目录,确认是否有程序在该目录下。
b.Win+R,输入msconfig,查看是否存在异常的启动项目,如有请删除。
C. Win+R,输入regedit,打开注册表查看开机启动项是否正常
特别注意以下三个注册表项:
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
检查右侧是否有启动异常的项目,如有请删除,并建议使用杀毒软件进行病毒查杀和清除。
5.检查计划任务
(1)检查是否有可疑的脚本执行
检查方法:
a.单击【开始】>【设置】>【控制面板】>【任务计划】,查看计划任务属性,便可以发现有可疑文件的路径。
b. Win+R,输入cmd,然后输入schtasks.exe,本地或远程电脑上创建、删除、查询、更改、运行和结束计划任务,如有请确认是否为正常连接。
6. 检查服务
(1)检查系统服务名称、描述和路径,是否存在异常
检查方法:
Win+R,输入services.msc,检查是否有异常服务。
7. 检查可疑文件
(1)检查新建文件、最近访问文件和相关下载目录
检查方法:
a.查看用户目录,是否有新建用户目录。
b. Win+R,输入%UserProfile%\Recent,分析最近打开是否有可疑文件。
c.查找可疑文件服务器各个目录。
d.回收站、浏览器下载目录、浏览器历史记录等。
e.查看文件的修改时间或创建时间。
