Windows入侵排查秘籍:锁死安全漏洞1 检查系统账号安全1.1 查看服务器是否有弱口令,远程管理端口是否对公网开放1.2 查看服务器是否存在可疑账号、新增账号 1.3 结合日志,查看管理员登录时间、用户名是否存在异常2 检查异常端口、进程、启动项2.1 检查网络连接情况,是否有远程连接、可疑连接2.2 检查异常进程2.3 检查启动项、计划任务、服务
Windows入侵排查秘籍:锁死安全漏洞
1 检查系统账号安全
1.1 查看服务器是否有弱口令,远程管理端口是否对公网开放
检查方法:
据实际情况咨询相关服务器管理员。
1.2 查看服务器是否存在可疑账号、新增账号
检查方法:
打开 cmd 窗口,输入 lusrmgr.msc 命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,请立即禁用或删除。
我们通过 net user /add 来添加账号,如果末尾添加$,说明这是一个隐藏账号,通过 net user 查看是无法发现隐藏账号的,但是我们 lusrmgr.msc 打开本地用户,则可以发现隐藏用户,如果有异常用户则将其删除。
1.3 结合日志,查看管理员登录时间、用户名是否存在异常
检查方法:
a、Win+R 打开运行,输入"eventvwr.msc",回车运行,打开"事件查看器",点击“安全”。
b、导出 Windows 日志 -- 将所有事件另存为,利用微软官方工具 Log Parser 进行分析。 工具下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=24659
LogParser.exe -i:evt "select top 100 \* from 'D:\\Security.evtx'" -o:DATAGRID
参数使用 -i:<输入源> 中间部分,sql语句 -o:<输出格式>
示例:
LogParser.exe -i:evt "select top 100 \* from 'D:\\Security\_20240726.evtx'" -o:DATAGRID
2 检查异常端口、进程、启动项
2.1 检查网络连接情况,是否有远程连接、可疑连接
检查方法:
- 使用 netstat -ano 命令查看目前的网络连接,定位可疑的 ESTABLISHED
ESTABLISHED:完成连接并正在进行数据通信的状态。 LISTENING:表示处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接。 CLOSE_WAIT:对方主动关闭连接或者网络异常导致连接中断。 TIME_WAIT:我方主动调用close()断开连接,收到对方确认后状态变为TIME_WAIT。
- 根据 netstat 命令定位出的 PID 编号,再通过 tasklist 命令进行进程定位 tasklist | findstr "PID"
可以进一步去任务管理器中确认(不一定能找到)
2.2 检查异常进程
检查方法:
依据进程名称查看是否有可疑进程,比如xxxxx.exe可能是木马。 tasklist /svc
- 开始 -- 运行 -- 输入 msinfo32 命令,依次点击 "软件环境 -- 正在运行任务" 就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期以及启动时间等。
- 通过微软官方提供的 Process Explorer 等工具进行排查,工具下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
- 查看可疑的进程及其子进程,可以通过观察以下内容 :没有签名验证信息的进程、没有描述信息的进程、进程的属主、进程的路径是否合法、CPU或内存资源占用长时间过高的进程(比如挖矿)
常用命令:
a. 查看端口对应的 PID:netstat -ano | findstr "port"
b. 查看进程对应的 PID:任务管理器 -- 查看 -- 选择列 -- PID 或者 tasklist | findstr "PID"
c. 查看进程对应的程序位置: 任务管理器 -- 选择对应进程 -- 右键打开文件位置/运行输入wmic,cmd 界面输入 process
d. tasklist /svc 进程 -- PID -- 服务
f. 查看Windows服务所对应的端口: %systemroot%/system32/drivers/etc/services(一般 %systemroot% 就是 C:\Windows 路径)
2.3 检查启动项、计划任务、服务
检查服务器是否有异常的启动项
检查方法:
-
登录服务器,单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。
-
单击开始菜单 >【运行】,输入 msconfig ,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。
- 单击【开始】>【运行】,输入 regedit,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。
-
利用安全软件查看启动项、开机时间管理等。
-
组策略,运行 gpedit.msc
PS:因为公众号平台更改了推送规则,如果不想错过内容,记得读完点一下“在看”,加个“星标”,这样每次新文章推送才会第一时间出现在你的订阅列表里。点“在看”支持我吧!
👍 点赞,你的认可是我创作的动力!
⭐️ 收藏,你的青睐是我努力的方向!
✏️ 评论,你的意见是我进步的财富!
