首先要分析入侵过程随后是入侵排查
入侵排查方法:
A. 检查系统账号安全
B. 检查异常端口、进程
C. 检查启动项、计划任务、服务
D. 检查系统相关信息
E. 检查系统日志
F. 日志分析
G.工具查杀
1、 检查系统账号安全
(1)服务器是否有弱口令,远程管理端口是否对公网开放
方法:尝试弱口令爆破或咨询管理员
(2)查看服务器是否存在可疑账号、新增账号。
方法:打开 cmd 窗口,输入lusrmgr.msc命令,查看是否有新增可疑的账号,如有管理 员群组的(Administrators)里的新增账户如有请立即禁用或删除掉
(3)查看服务器是否存在隐藏账号、克隆账号。
方法:1、打开注册表(win+r输入regedit)选择HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users
在 Names 项下可以看到实例所有用户名,如出现本地账户中没有的账户,即为隐藏账户,在确认为非系统用户的前提下,可删除此用户
2、使用D盾_web查杀工具,这个集成了对克隆账号检测的功能
Ps:如果看不到SAM子选项就右键点击HKEY_LOCAL_MACHINE\SAM\SAM → 选择 "权限",把当前账户的权限设置为 "完全控制",关闭注册表编辑器后重新打开,就能看到Domains/Account/Users子项了。
(4)结合日志查看管理员登录时间、用户名是否存在异常。
方法:打开事件查看器(win+R输入eventvwr.msc),分析用户登录日志
2、检查异常端口、进程
**(1)**检查端口连接情况,是否有远程连接、可疑连接。
方法:1、使用'netstat -ano'查看目前的网络连接,定位可疑的ESTABLISHED(当前处于 "已建立连接" 的状态。)然后根据pid通过tasklist命令定位------tasklist | findstr "目标PID"
2、d盾web查杀工具进行端口查看
(2)检查进程
方法:1、(win+R输入msinfo32)依次点击"软件环境→正在运行任务"就 可以查看到进程的详细信 息
2、打开D盾_web查杀工具,进程查看,关注没有签名信息的进程。
3. 通过微软官方提供的 Process Explorer 等工具进行排查 。
4. 查看可疑的进程及其子进程。可以通过观察以下内容:
没有签名验证信息的进程
没有描述信息的进程
进程的属主
进程的路径是否合法
CPU或内存资源占用长时间过高的进程
3、 检查启动项、计划任务、服务
(1)检查服务是否有异常的启动项
方法:
1、单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。
2、win+R输入msconfig,查看是否有异常的启动项目,是则取消勾选命名异常的启动项目,并到文件所在路径删除文件。
3、单击【开始】 >【运行】,输入 regedit,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项:
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。
4、利用安全软件查看启动项、开机时间管理等。
5、组策略(win+R输入gpedit.msc)
(2)检查计划任务
方法:1、打开控制面板(win+R输入control)搜索任务计划,查看计划任务属性,便可以发现木马文件 的路径。
2、打开cmd输入schtasks.exe
检查计算机与网络上的其 它计算机之间的会话 或计划任务,如有,则确认是否为正常连接。
Ps:其中计划任务在windows7及之前版本的操作系统中使用at命令进行调用,在从windows8版本开始的操作系统中使用schtasks命令调用。
3、使用安全软件查看计划任务
(3)服务自启动
方法:win+R输入services.msc,注意服务状态和 启动类型,检查是否有异常服务
4、检查系统相关信息
(1)查看系统版本以及补丁信息
方法:打开cmd输入systeminfo查看系统信息和补丁,对系统补丁进行漏洞利用分析
(2)查找可疑目录及文件
方法:1、查看用户目录,是否存在新建用户目录
Window 2003版本 : C:\Documents and Settings
Window 2003以后版本 : C:\Users\
2、win+R输入%UserProfile%\Recent(打开最近访问的文件)分析最近打开的可疑文件
3、
1、点击文件资源管理器,查找服务器内中的各个文件夹
2、将文件夹文件按时间进行排序,查找可疑文件,其中修改时间在创建时间之前的为可疑文件,也可以在搜索中搜索某一时间修改的文件。重点关注windows\system32的sethc.exe是否被替换为cmd程序
4、针对回收站、浏览器下载目录以及历史记录进行排查
(3)查看隐藏文件
方法:1、打开控制面板找到文件资源管理器选项,点击 查看 后,取消"隐藏受保护的操作系统文件"勾选,在隐藏文件和文件夹下面的单选选择显示隐藏的文件、文件夹和驱动器
5、检查系统日志及分析
windows事件日志
windows事件日志简介:Windows系统日志是记录系统中硬件、软件和系统问题的 信息,同时还可以监视系统中发生的事件。用户可以通过它来检查 错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
Windows主要有以下三类日志记录系统事件: 应用程序日志 系统日志 安全日志
事件查看器(win+R输入eventvwr.msc)
系统日志 :
记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用 软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
默认位置: %SystemRoot%\System32\Winevt\Logs\System.evtx
应用程序日志:
包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事 件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以 自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程 序事件日志中找到相应的记录,也许会有助于你解决问题。
默认位置: %SystemRoot%\System32\Winevt\Logs\Application.evtx
安全日志:
记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志 、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是 调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员可以 使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性 日志满后使系统停止响应。
默认位置: %SystemRoot%\System32\Winevt\Logs\Security.evtx
日志分析
不同的EVENT ID代表不同的意义
不同登录类型代表不同的方式
