Windows入侵排查Tricks

admin
admin
admin
137435
文章
113
评论
2023年8月5日12:33:00评论30 views字数 2122阅读7分4秒阅读模式

0x01 序言

HVV又开始了,略微整理一下网上实用的windows排查思路,那就“康康”吧!!!

Windows入侵排查Tricks

针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入侵排查的思路。

0x02 入侵排查思路

检查系统账号安全

1、查看服务器是否有弱口令,远程管理端口是否对公网开放。2、查看服务器是否存在可疑账号、新增账号。打开 cmd 窗口,输入`lusrmgr.msc`命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。3、查看服务器是否存在隐藏账号、克隆账号。  a、打开注册表 ,查看管理员对应键值。  b、使用D盾_web查杀工具,集成了对克隆账号检测的功能。
4、结合日志,查看管理员登录时间、用户名是否存在异常。  a、Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。  b、导出Windows日志--安全,利用Log Parser进行分析。

检查异常端口、进程

1、检查端口连接情况,是否有远程连接、可疑连接。  a、netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED   b、根据netstat 定位出的pid,再通过tasklist命令进行进程定位 tasklist  | findstr “PID”2、进程  a、开始--运行--输入msinfo32,依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期、启动时间等。  b、打开D盾_web查杀工具,进程查看,关注没有签名信息的进程。  c、通过微软官方提供的 Process Explorer 等工具进行排查 。  d、查看可疑的进程及其子进程


3、tricks:

a、查看端口对应的PID:netstat -ano | findstr “port”

Windows入侵排查Tricks

b、查看进程对应的PID:任务管理器--查看--选择列--PID 或者 tasklist  | findstr “PID”


Windows入侵排查Tricks 

c、查看进程对应的程序位置:
任务管理器--选择对应进程--右键打开文件位置运行输入 wmic,cmd界面 输入  process 或者输入命令:wmic process where(description="xxx.exe")


Windows入侵排查Tricks

d、tasklist /svc   进程--PID--服务e、查看Windows服务所对应的端口:%system%/system32/drivers/etc/services f、删除可疑进程命令:taskkill /f /im httpd.exe

Windows入侵排查Tricks

检查启动项

检查计划任务1.单击->控制面板>【任务计划】,查看计划任务属性,便可以发现木马文件的路径。2.单击->开始>【运行】;输入 cmd,然后输入**at**,检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接。win10下一般会显示>>AT 命令已弃用。请改用 schtasks.exe  win10下使用命令**schtasks** 查看计划定时任务

Windows入侵排查Tricks

3、服务自启动

检查方法:单击->开始>【运行】,输入**services.msc**,注意服务状态和启动类型,检查是否有异常服务。检查系统相关信息
1、查看系统版本以及补丁信息* 检查方法:单击->开始>【运行】,输入**systeminfo**,查看系统信息
2、查找可疑目录及文件检查方法:  a、 查看用户目录,新建账号会在这个目录生成一个用户目录,查看是否有新建用户目录。  >Window 2003  C:Documents and Settings     >Window 2008R2  C:Users  b、单击->开始>【运行】,输入 **%UserProfile%Recent** ,分析最近打开可疑文件。  c、在服务器各个目录,可根据文件夹内文件列表时间进行排序,查找可疑文件。  d、回收站、浏览器下载目录、浏览器历史记录  e、修改时间在创建时间之前的为可疑文件
3、得到发现WEBSHELL、远控木马的创建时间,找出同一时间范围内创建的文件排查方法    a、利用 Registry Workshop  注册表编辑器的搜索功能,可以找到最后写入时间区间的文件。    b、利用计算机自带文件搜索功能,指定修改时间进行搜索。

自动化查杀

病毒查杀  下载安全软件,更新最新病毒库,进行全盘扫描。
webshell查杀  选择具体站点路径进行webshell查杀,建议使用两款webshell查杀工具同时查杀,可相互补充规则库的不足。

日志分析

系统日志1. 分析方法:  a、前提:开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。  b、Win+R打开运行,输入**eventvwr.msc**,回车运行,打开**事件查看器**。  C、导出应用程序日志、安全日志、系统日志,利用**Log Parser**进行分析。
WEB访问日志2.分析方法:  a、找到中间件的web日志,打包到本地方便进行分析。  b、推荐工具:Window下,推荐用 EmEditor 进行日志分析,支持大文本,搜索效率还不错。



原文始发于微信公众号(鼎信安全):Windows入侵排查Tricks

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年8月5日12:33:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Windows入侵排查Trickshttps://cn-sec.com/archives/1082760.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息