HVV之Windows应急排查tricks
2021-03-22 15:16:49 Author: www.secpulse.com(查看原文) 阅读量:194 收藏

HVV开始,之前分享Linux下的入侵排查,现在补上Windows的入侵排查tricks,最近查看疑似问题终端比较多,个人感觉这些tricks应该可以帮助大家。

微信截图_20210320151507.png

常见的应急响应事件分类:

web入侵:网页挂马、主页篡改、Webshell
系统入侵:病毒木马、勒索软件、远控后门
网络攻击:DDOS攻击、DNS劫持、ARP欺骗

检查系统账号安全

1、查看服务器是否有弱口令

    询问服务器管理员

2、 远程管理端口是否对公网开放。

    a. 一般服务器管理员有地址映射表以及各台服务器端口开放情况

    b. 使用命令

    >netstat -ano|more   #查看端口开放情况以及详细进程等

3、查看服务器是否存在可疑账号、新增账号。

    a.打开 cmd 窗口,输入`lusrmgr.msc`命令,查看是否有新增/可疑的账号。

    b.打开cmd,使用命令

    >net user  #查看是否存在可以用户

    c.开始>控制面板>管理工具>用户和组 ,查看有用户,可以用户或者不熟悉用户查看是否已经禁用

4、查看服务器是否存在隐藏账号、克隆账号。

    a、打开注册表 ,查看管理员对应键值。

    b、使用D盾_web查杀工具,集成了对克隆账号检测的功能。

5、结合日志,查看管理员登录时间、用户名是否存在异常。

    a、Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。

    b、导出Windows日志--安全,利用Log Parser进行分析。   

检查异常端口、进程

1、检查端口连接情况,是否有远程连接、可疑连接。

    a、netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED

    b、根据netstat 定位出的pid,再通过tasklist命令进行进程定位 tasklist  | findstr “PID”

2、进程查看

    a、D盾等工具的使用帮助查询进程信息

    b、打开D盾_web查杀工具,进程查看,关注没有签名信息的进程。

    c、通过微软官方提供的 Process Explorer 等工具进行排查 。

    d、查看可疑的进程及其子进程。可以通过观察以下内容:

>没有签名验证信息的进程
>没有描述信息的进程
>进程的属主
>进程的路径是否合法
>CPU或内存资源占用长时间过高的进程

3、tricks:

a、查看端口对应的PID

>netstat -ano | findstr “port”

微信截图_20210320152045.png

b、查看进程对应的PID:任务管理器--查看--选择列--PID 或者

>tasklist  | findstr “PID”

微信截图_20210320152219.png

c、查看进程对应的程序位置:

任务管理器--选择对应进程--右键打开文件位置

运行输入 wmic,cmd界面 输入  process

cmd输入命令

微信截图_20210320152329.png

d、tasklist /svc   进程--PID--服务

e、查看Windows服务所对应的端口:%system%/system32/drivers/etc/services

f、删除可疑进程命令

>taskkill /f /im httpd.exe

微信截图_20210320152428.png

检查启动项、计划任务、服务

1、检查服务器是否存在计划任务

    开始>控制面板>管理工具>计划任务

2、检查计划任务

    控制面板>任务计划,查看计划任务属性,便可以发现木马文件的路径。

    运行 cmd,然后输入

    >at

检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接。win10下一般会显示>>AT 命令已弃用。请改用 schtasks.exe

win10下使用命令**schtasks** 查看计划定时任务

微信截图_20210320152547.png

3、服务自启动

>services.msc              #注意服务状态和启动类型,检查是否有异常服务

检查系统相关信息

1、查看系统版本以及补丁信息

    >systeminfo   #cmd查看系统信息

2、查找可疑目录及文件

    a、 查看用户目录,新建账号会在这个目录生成一个用户目录,查看是否有新建用户目录。

    >Window 2003  C:\Documents and Settings
    >Window 2008R2  C:\Users\

    b、单击->开始>【运行】,输入 **%UserProfile%\Recent** ,分析最近打开可疑文件。

    c、在服务器各个目录,可根据文件夹内文件列表时间进行排序,查找可疑文件。

    d、回收站、浏览器下载目录、浏览器历史记录

    e、修改时间在创建时间之前的为可疑文件

3、得到发现WEBSHELL、远控木马的创建时间,找出同一时间范围内创建的文件排查方法

    a、利用 Registry Workshop  注册表编辑器的搜索功能,可以找到最后写入时间区间的文件。

    b、利用计算机自带文件搜索功能,指定修改时间进行搜索。

日志分析

1、系统日志

    a.  开始>控制面板>管理工具>事件分析

    b、Win+R打开运行,输入**eventvwr.msc**,回车运行,打开**事件查看器**。

    C、导出应用程序日志、安全日志、系统日志,利用**Log Parser**进行分析。

2、WEB访问日志

    a、找到中间件的web日志。

    b、查看web目录文件修改日期

本文作者:Am1azi3ng

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/155313.html


文章来源: https://www.secpulse.com/archives/155313.html
如有侵权请联系:admin#unsafe.sh