如果遇到windows服务器被木马或病毒入侵,我们可以从以下几种思路去排查
一.查看异常端口情况
netstat -ano:查看所有开放的端口一般是查看已经建立连接的端口,也可以查看监听中的端口
netstat -ano | findstr "ESTABLISHED" 查看已经建立连接的端口
重点关注与外网ip建立的连接,最后一列为pid号,
netstat -ano | findstr "LISTENING" 查看监听中的端口,有点木马可能会在服务器开启一个监听端口,然后随机时间去连接。
tasklist | findstr "pid" 根据pid去定位进程名称查看8212pid,可以看到对应进程为SearchHost.exe
输入msinfo32可以查看进程详细信息。
Wmic process where name="SearchHost.exe" get name,Caption,executablepath,CommandLine ,processid,ParentProcessId /value根据进程名字查看进程执行时所使用的命令
Wmic process where processid="8212" get name,Caption,executablepath,CommandLine ,processid,ParentProcessId /value根据pid号查看进程执行时所使用的命令
二.查看用户
net user 查看电脑上用户(隐藏用户需要在控制面板或注册表中查看)net user username 查看username用户详细信息query user 查看登录用户lusrmgr.msc 查看本地用户组regedit 查看注册表
三.查看启动项
msconfig 查看系统启动项
任务管理器查看开机自启项
查看注册表启动项
regedit打开注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
四.查看系统定时任务
老系统使用at命令
win10以上使用schtasks
查看任务清单C:\Windows\System32\Tasks
五.查看系统服务
net start 查看系统开启的服务
services.msc
查看服务所在路径 sc qc "服务名"
sc start "服务名" 开启服务
sc stop "服务名" 停止服务
sc delete "服务名" 删除服务
icacls "D:\everything" 查看目录权限
六.查看最近访问目录
%UserProfile%\Recent
可以查看最近动过的文件与目录等。
借鉴 http://wiki.tidesec.com/docs/emergency
文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDMwNDE2OQ==&mid=2247486615&idx=1&sn=530bc6b95a502dddf63ebbeba3450e5e&chksm=c12c3a51f65bb3476f8369344eb00a48119cfca677b5ec4a511ff0b1e488b6775507d2ae5851#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh