- 0x00 介绍
- 0x01 入侵排查思路
- 1.1 检查系统账号安全
- 第一步 查看服务器是否有弱口令,远程管理端口是否对公网开放。
- 第二步 查看服务器是否存在可疑账号、新增账号。
- 第三步查看服务器是否存在隐藏账号、克隆账号。
- 方法一:打开注册表 ,查看管理员对应键值。
- 方法二:使用D盾_web查杀工具,集成了对克隆账号检测的功能。
- 第四步 结合日志,查看管理员登录时间、用户名是否存在异常。
- 检查步骤:(七步)
- 1.2 检查异常端口、进程
- 第一步 检查端口连接情况,是否有远程连接、可疑连接。
- 检查步骤一:
- 检查步骤二:
- 第二步 检查进程
- 检查步骤:
- 1.3 检查启动项、计划任务、服务
- 第一步 检查服务器是否有异常的启动项。
- 检查步骤:
- 第二步 检查计划任务
- 检查步骤:
- 1.4 检查系统相关信息
- 第一步 查看系统版本以及补丁信息
- 检查步骤:
- 检查步骤:
- 第二步 查看隐藏文件
- 检测步骤:
- 摘抄
- 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,
- 进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。
- 检查方法:据实际情况
咨询相关服务器管理员。
- 检查方法:打开 cmd 窗口,输入
lusrmgr.msc命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。
- 检查方法:
1)在桌面打开运行(可使用快捷键 win+R),输入 regedit,即可打开注册表编辑器; 2)选择 HKEY_LOCAL_MACHINE/SAM/SAM,默认无法查看该选项内容,右键菜单选择权限,打开权限管理窗口; 3)选择当前用户(一般为 administrator),将权限勾选为完全控制,然后确定。关闭注册表编辑器;
4)再次打开注册表编辑器,即可选择 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users; 5)在 Names 项下可以看到实例所有用户名,
如出现本地账户中没有的账户,即为隐藏账户,在确认为非系统用户的前提下,可删除此用户。 
第一步 Win+R 打开运行,输入"eventvwr.msc",回车运行,打开“事件查看器”。
第二步 导出 Windows 日志 – 安全,
利用微软官方工具 Log Parser 进行分析。 
第三步 查看成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM C:\20220217.evtx where EventID=4624" 
第四步 指定登录时间范围的事件:
(查询2022-01-01 23:32:11到2022-02-17 23:34:00的登录成功的日志信息) LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM C:\20220217.evtx where TimeGenerated>'2022-01-01 23:32:11' and TimeGenerated
1662051426
最近更新
- 深拷贝和浅拷贝的区别(重点)
- 【Vue】走进Vue框架世界
- 【云服务器】项目部署—搭建网站—vue电商后台管理系统
- 【React介绍】 一文带你深入React
- 【React】React组件实例的三大属性之state,props,refs(你学废了吗)
- 【脚手架VueCLI】从零开始,创建一个VUE项目
- 【React】深入理解React组件生命周期----图文详解(含代码)
- 【React】DOM的Diffing算法是什么?以及DOM中key的作用----经典面试题
- 【React】1_使用React脚手架创建项目步骤--------详解(含项目结构说明)
- 【React】2_如何使用react脚手架写一个简单的页面?
