本文转载自微信公众号《绕路》,作者绕路。转载本文请联系旁路公众号。Windows系统被入侵后,通常会导致系统资源过度占用、端口和进程异常、账户或文件可疑等,给业务系统带来不稳定等诸多问题。有些病毒木马会随着电脑启动而启动,并获得一定的控制权。启动方式有很多种,比如注册表、服务、计划任务等等,这些都是需要检查的地方。此外,还需要关注服务器日志信息,从中挖掘出有价值的信息。基于以上,我们总结了Windows服务器入侵排查的思路,从Windows入侵现象、启动方式、安全日志等方面着手排查服务器最容易出现安全问题的地方。01.查看系统账号(1)查看远程管理端口是否开放公网,服务器是否存在弱口令。检查方法:检查防火墙映射规则,获取服务器账号登录,或根据实际情况咨询相关管理员。(2)检查服务器是否有可疑账号和新账号。检查方法:打开cmd窗口,输入lusrmgr.msc命令,检查是否有新增/可疑账户。如果管理员组(Administrators)有新的账号,根据实际应用情况保留或删除。(3)检查服务器是否存在隐藏或克隆的账号。查看隐藏账户方法:在CMD命令行使用“netuser”,看不到“test$”这个账户,但是这个用户可以在控制面板和本地用户和组中显示。查看克隆账户的方法:打开注册表,查看administrator对应的键值。使用D-shield_web查杀工具集成检测克隆账号功能。(4)结合Windows安全日志,查看管理员登录时间和用户名是否有异常。检查方法:Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。或者我们可以安全地导出Windows日志,并使用LogParser进行分析。02.检查异常端口(1)检查端口连接检查方法:a.netstat-ano查看当前网络连接,定位可疑的ESTABLISHEDb,根据netstat定位pid,然后使用tasklist命令定位进程tasklist|findstr"PID"(2)检查可疑的网络连接。检查方法检查是否存在可疑的网络连接。如果发现异常,可以使用Wireshark网络抓包辅助分析。03.检查异常进程(1)检查是否有可疑进程检查方法:a.开始—运行—输入msinfo32,依次点击“软件环境→运行任务”可以查看进程的详细信息,如进程路径、进程ID、文件创建日期、启动时间等。打开D-shield_web查杀工具,查看进程,注意没有签名信息的进程。C。通过微软官方提供的ProcessExplorer等工具查看。d.查看可疑进程及其子进程。可以观察到:没有签名验证信息的进程没有描述信息的进程进程的属主进程路径是否合法CPU或内存占用率高的进程时间长(二)如何找到对应的程序位置进程任务管理器——选择对应的进程——右键打开文件位置运行输入wmic,在cmd界面输入process04,查看启动项(1)查看服务器是否有异常启动项。检查方法:登录服务器,点击【开始】>【所有程序】>【开始】。该目录默认为空目录,确认该目录下是否有非业务程序。b.点击开始菜单>【运行】,输入msconfig,查看是否有名称异常的启动项。如果是,取消勾选异常命名的启动项,并从命令显示的路径中删除该文件。C。点击【开始】>【运行】,输入regedit,打开注册表,查看启动项是否正常,特别注意以下三个注册表项:HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\runHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce查看右侧是否有异常启动项,如有请删除,建议安装杀毒软件查杀病毒删除残留的病毒或木马。d.使用安全软件查看启动项,开机时间管理等。e,组策略,运行gpedit.msc。05.查看定时任务(1)查看定时任务中是否有可疑脚本执行检查方法:a.点击【开始】>【设置】>【控制面板】>【任务计划程序】查看计划任务的属性,可以找到木马文件所在的路径。b.点击【开始】>【运行】;输入cmd,然后输入at,查看本机与网络中其他计算机的会话或计划任务,如果有,确认是否正常连接。06、检查服务(1)检查系统服务名称、描述和路径,确认是否有异常检查方法:点击【开始】>【运行】,输入services.msc,注意服务状态和启动类型,检查是否有业务异常。07、检查可疑文件(1)检查新文件、最近访问过的文件及相关下载目录等检查方法:a.查看用户目录,新帐号会在该目录下生成一个用户目录,查看是否有新的用户目录。Window2003C:\DocumentsandSettingsWindow2008R2C:\Users\b,点击【开始】>【运行】,输入%UserProfile%\Recent,分析最近打开的文件,分析可疑文件。C。在服务器的各个目录中,可以根据文件夹中文件列表的时间排序,查找可疑文件。d.回收站、浏览器下载目录、浏览器历史e.修改时间早于创建时间的可疑文件(2)如何找出同一时间范围内发现的WEBSHELL或远程控制木马的创建时间?检查方法:使用RegistryWorkshop注册表编辑器的搜索功能查找时间间隔内最后写入的文件。b.使用电脑自带的文件搜索功能,通过指定修改时间进行搜索。08.查看系统日志(1)查看系统安全日志一般情况下,您可以通过查看Windows安全日志来了解账户登录状态,如成功/失败次数等。LogParser.exe-i:EVT–o:DATAGRID"SELECTEXTRACT_TOKEN(Strings,10,'|')asEventType,EXTRACT_TOKEN(Strings,5,'|')asuser,count(EXTRACT_TOKEN(Strings,19,'|'))asTimes,EXTRACT_TOKEN(Strings,19,'|')asLoginIpFROMF:\security.evtxwhereEventID=4625GROUPBYStrings"(2)历史命令记录高版本的Powershell会记录PowerShell命令,所有的PowerShell命令都会保存在一个固定位置:%appdata%\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt查看PowerShell历史:Get-Content(Get-PSReadlineOption).HistorySavePath默认支持Powershellv5、Powershellv3和Powershellv4,安装Get-PSReadlineOption后才能使用。
