安基網 首頁 安全 安全學院 查看內容

應急響應篇-Windows被黑客入侵后需要做的幾件事

2020-6-6 12:25| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 前言打算梳理兩篇應急響應的文章,就先從windows開始,希望能幫到需要的朋友。由于篇幅有限,有些東西不會細講,有需要的話會單獨出文章。本文如有不對歡迎指出。Windows應急響應常見的入侵:web應用入侵:網頁掛馬、主頁篡改、Webshell應急排查思路:對web中間件日志進行分析,web應用日志分析操作系統 ...

前言

打算梳理兩篇應急響應的文章,就先從windows開始,希望能幫到需要的朋友。

由于篇幅有限,有些東西不會細講,有需要的話會單獨出文章。本文如有不對歡迎指出。


Windows應急響應



常見的入侵:

web應用入侵:網頁掛馬、主頁篡改、Webshell

應急排查思路:對web中間件日志進行分析,web應用日志分析


操作系統入侵:病毒木馬、勒索軟件、遠控后門

應急排查思路:計劃任務,日志分析,進程進行分析,流量分析


入侵排查


查看服務器是否存在可疑賬號

檢查方法:

1打開 cmd 窗口,輸入lusrmgr.msc命令,查看是否有新增/可疑的賬號,如有管理員群組的(Administrators)里的新增賬戶,如有,請立即禁用或刪除掉。

2.查看是否存在隱藏賬號(用戶名以$結尾的為隱藏用戶,如:safe6$)。在cmd用net user命令是看不到的




查看服務器是否存在克隆賬號。

檢查方法:

a、打開注冊表 ,查看管理員對應鍵值。

b、使用D盾查殺工具,集成了對克隆賬號檢測的功能


查看服務器是否有弱口令

自查,不用多說


系統日志排查

windows的事件查看器導出用Log Parser Studio工具進行排查分析。


檢查異常端口、進程

檢查端口連接情況,是否有遠程連接、可疑連接。

檢查方法:

a、查看目前的網絡連接,定位可疑的連接

netstat -ano 



b、根據netstat 定位出的pid,再通過tasklist命令進行進程定位

tasklist | findstr “PID”



進程排查

檢查方法:

a、開始--運行--輸入msinfo32,依次點擊“軟件環境→正在運行任務”就可以查看到進程的詳細信息,比如進程路徑、進程ID、文件創建日期、啟動時間等。



b、打開D盾_web查殺工具,進程查看,關注沒有簽名信息的進程。


c、查看可疑的進程及其子進程。可以通過觀察以下內容:

沒有簽名驗證信息的進程

沒有描述信息的進程

進程的屬主

進程的路徑是否合法

CPU或內存資源占用長時間過高的進程

計劃任務排查

通過命令查看計劃任務

schtasks /delete /tn xxxTask


刪除計劃任務

schtasks /delete /tn xxxTask

刪除對應計劃任務文件夾(定位定時任務具體執行的程序)

存放計劃任務的文件

  • C:WindowsSystem32Tasks
  • C:WindowsSysWOW64Tasks
  • C:Windowstasks
  • *.job(指文件)


排查自啟動項

通過借助工具autoruns進行查看,主要檢查開機自啟動以及一些系統服務(計劃任務也可以排查)。


查看可疑目錄及文件

a查看 host文件 :

type %systemroot%System32driversetchosts

b分析最近打開文件

Recent是系統文件夾,里面存放著你最近使用的文檔的快捷方式,查看用戶recent相關文件,通過分析最近打開分析可疑文件:

單擊【開始】>【運行】,輸入%UserProfile%Recent,分析最近打開分析可疑文件。



c.tmp相關目錄下查看有無異常文件 :Windows產生的臨時文件

d.使用d盾對web程序部署路徑查殺

e.使用殺毒軟件全盤掃描


中間件日志和應用程序日志分析

注:重點分析是否上傳webshell,sql注入,命令執行等操作

關注日志文件

tomcat:安裝目錄下logs文件夾localhost_access_log.2020-06-01.txt

apache:安裝目錄下logs文件夾 access.log

nginx:安裝目錄下logs文件夾host.access.log

Windows Server 2003 iis6日志路徑:C:WindowsSystem32LogFiles

Windows Server 2008 R2、2012、2016、2019 iis7以上日志路徑:C:inetpublogsLogFiles

具體web應用日志,看具體配置存放的位置。


系統工具替換后門排查

1系統工具替換后門(替換系統的自帶程序,如放大鏡,粘滯鍵,旁白)

檢查下面的程序是否被替換(md5比對)

粘滯鍵:C:WindowsSystem32Sethc.exe

屏幕鍵盤: C:WindowsSystem32osk.exe

放大鏡: C:WindowsSystem32Magnify.exe

旁白: C:WindowsSystem32Narrator.exe

顯示切換器: C:WindowsSystem32DisplaySwitch.exe

應用切換器: C:WindowsSystem32AtBroker.exe

鏡像劫持

比如打開qq會出現打開cmd

利用autoruns工具排查



waitfor.exe后門

通過Process Explorer工具查看是否有waitfor.exe進程,并進一步查看啟動參數等。


bitsadmin后門

Bitsadmin從win7之后操作系統就默認包含,可以用來創建上傳或者下載任務。Bistadmin可以指定下載成功之后要進行什么命令。后門就是利用的下載成功之后進行命令執行。

排查命令

bitsadmin /list /verbose

WMI后門

使用工具autoruns排查


進程注入排查

利用工具process explorer 、process monitor,較難排查。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/i6834024822461170180/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
创业如何赚钱 深圳风采彩票官方网站 北京市十一选五走势图手机版 华东15选5开奖 股票推荐询问推荐卓信-宝23 辽宁体彩十一选五一牛 002573股票分析 腾讯时时彩官方网站app 黑龙江36选7开奖结果查询结果104期 今天3d开机号和试机号列表开奖 配资炒股中心 下期双色球的必开号码 河南11选5中奖查询 股票趋势分析技术 吉林11选5前2最大值走势图 广东极速十一选五 山东群英会20选5走势图