长亭百川云 - 文章详情

Windows入侵排查秘籍:锁死安全漏洞

superman超哥

61

2024-07-26

Windows入侵排查秘籍:锁死安全漏洞1 检查系统账号安全1.1 查看服务器是否有弱口令,远程管理端口是否对公网开放1.2 查看服务器是否存在可疑账号、新增账号 1.3 结合日志,查看管理员登录时间、用户名是否存在异常2 检查异常端口、进程、启动项2.1 检查网络连接情况,是否有远程连接、可疑连接2.2 检查异常进程2.3 检查启动项、计划任务、服务

Windows入侵排查秘籍:锁死安全漏洞

1 检查系统账号安全

1.1 查看服务器是否有弱口令,远程管理端口是否对公网开放

检查方法:

据实际情况咨询相关服务器管理员。

1.2 查看服务器是否存在可疑账号、新增账号

检查方法:

打开 cmd 窗口,输入 lusrmgr.msc 命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,请立即禁用或删除。

我们通过 net user /add 来添加账号,如果末尾添加$,说明这是一个隐藏账号,通过 net user 查看是无法发现隐藏账号的,但是我们 lusrmgr.msc 打开本地用户,则可以发现隐藏用户,如果有异常用户则将其删除。

1.3 结合日志,查看管理员登录时间、用户名是否存在异常

检查方法:

a、Win+R 打开运行,输入"eventvwr.msc",回车运行,打开"事件查看器",点击“安全”。

b、导出 Windows 日志 -- 将所有事件另存为,利用微软官方工具 Log Parser 进行分析。 工具下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=24659

LogParser.exe -i:evt "select top 100 \* from 'D:\\Security.evtx'" -o:DATAGRID

参数使用 -i:<输入源> 中间部分,sql语句 -o:<输出格式>

示例:

LogParser.exe -i:evt "select top 100 \* from 'D:\\Security\_20240726.evtx'" -o:DATAGRID

2 检查异常端口、进程、启动项

2.1 检查网络连接情况,是否有远程连接、可疑连接

检查方法:

  1. 使用 netstat -ano 命令查看目前的网络连接,定位可疑的 ESTABLISHED

ESTABLISHED:完成连接并正在进行数据通信的状态。 LISTENING:表示处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接。 CLOSE_WAIT:对方主动关闭连接或者网络异常导致连接中断。 TIME_WAIT:我方主动调用close()断开连接,收到对方确认后状态变为TIME_WAIT。

  1. 根据 netstat 命令定位出的 PID 编号,再通过 tasklist 命令进行进程定位 tasklist | findstr "PID"

可以进一步去任务管理器中确认(不一定能找到)

2.2 检查异常进程

检查方法:

依据进程名称查看是否有可疑进程,比如xxxxx.exe可能是木马。 tasklist /svc

  1. 开始 -- 运行 -- 输入 msinfo32 命令,依次点击 "软件环境 -- 正在运行任务" 就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期以及启动时间等。

  1. 通过微软官方提供的 Process Explorer 等工具进行排查,工具下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

  1. 查看可疑的进程及其子进程,可以通过观察以下内容 :没有签名验证信息的进程、没有描述信息的进程、进程的属主、进程的路径是否合法、CPU或内存资源占用长时间过高的进程(比如挖矿)

常用命令:

a. 查看端口对应的 PID:netstat -ano | findstr "port"

b. 查看进程对应的 PID:任务管理器 -- 查看 -- 选择列 -- PID 或者 tasklist | findstr "PID"

c. 查看进程对应的程序位置: 任务管理器 -- 选择对应进程 -- 右键打开文件位置/运行输入wmic,cmd 界面输入 process

d. tasklist /svc 进程 -- PID -- 服务

f. 查看Windows服务所对应的端口: %systemroot%/system32/drivers/etc/services(一般 %systemroot% 就是 C:\Windows 路径)

2.3 检查启动项、计划任务、服务

检查服务器是否有异常的启动项

检查方法:

  1. 登录服务器,单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。

  2. 单击开始菜单 >【运行】,输入 msconfig ,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。

  1. 单击【开始】>【运行】,输入 regedit,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。

  1. 利用安全软件查看启动项、开机时间管理等。

  2. 组策略,运行 gpedit.msc

PS:因为公众号平台更改了推送规则,如果不想错过内容,记得读完点一下“在看”,加个“星标”,这样每次新文章推送才会第一时间出现在你的订阅列表里。点“在看”支持我吧!

👍 点赞,你的认可是我创作的动力!

⭐️ 收藏,你的青睐是我努力的方向!

✏️ 评论,你的意见是我进步的财富!

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2