如果遇到windows服务器被木马或病毒入侵,我们可以从以下几种思路去排查
一.查看异常端口情况
netstat -ano:查看所有开放的端口一般是查看已经建立连接的端口,也可以查看监听中的端口
netstat -ano | findstr "ESTABLISHED" 查看已经建立连接的端口
重点关注与外网ip建立的连接,最后一列为pid号,
netstat -ano | findstr "LISTENING" 查看监听中的端口,有点木马可能会在服务器开启一个监听端口,然后随机时间去连接。
tasklist | findstr "pid" 根据pid去定位进程名称
查看8212pid,可以看到对应进程为SearchHost.exe
输入msinfo32可以查看进程详细信息。
Wmic process where name="SearchHost.exe" get name,Caption,executablepath,CommandLine ,processid,ParentProcessId /value根据进程名字查看进程执行时所使用的命令
Wmic process where processid="8212" get name,Caption,executablepath,CommandLine ,processid,ParentProcessId /value根据pid号查看进程执行时所使用的命令
二.查看用户
net user 查看电脑上用户(隐藏用户需要在控制面板或注册表中查看)net user username 查看username用户详细信息query user 查看登录用户查看本地用户组regedit 查看注册表
三.查看启动项
msconfig 查看系统启动项
任务管理器查看开机自启项
查看注册表启动项
regedit打开注册表
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce
四.查看系统定时任务
老系统使用at命令
win10以上使用schtasks
查看任务清单C:WindowsSystem32Tasks
五.查看系统服务
net start 查看系统开启的服务
services.msc
查看服务所在路径 sc qc "服务名"
sc start "服务名" 开启服务
sc stop "服务名" 停止服务
sc delete "服务名" 删除服务
icacls "D:everything" 查看目录权限
六.查看最近访问目录
%UserProfile%Recent
可以查看最近动过的文件与目录等。
借鉴 http://wiki.tidesec.com/docs/emergency原文始发于微信公众号(星冥安全):windows常规应急
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论