檢測不正常賬戶
查詢被新增的賬號,特別是管理員群組的(administrators group)裡的新增賬戶。
c:\lusrmgr.msc
c:\>net localgroup administrators
c:\>net localgroup administrateurs
查詢隱藏的檔案
在系統資料夾裡檢視最近新建的檔案,比如c:\windows\system32.
c:\>dir /s /a:h
檢查登錄檔啟動項
在windoows 登錄檔裡檢視開機啟動項是否正常,特別一下登錄檔項:
hklm\software\microsoft\windows\currentversion\run
hklm\software\microsoft\windows\currentversion\runonce
hklm\software\microsoft\windows\currentversion\runonceex
檢查不正常的服務
檢查所有執行的服務,是否存在偽裝系統服務和未知服務,檢視可執行檔案的路徑。
檢查賬戶啟動資料夾
例如:windows server 2008
檢視正在連線的會話
c:\net use
檢查計算機與網路上的其它計算機之間的會話
c:\net session
檢查netbios連線
c:\nbtstat –s
檢查系統不正常網路連線
c:\netstat –nao 5
檢查自動化任務
檢查計畫任務清單中未知的計畫
c:\at
檢查windows日誌中的異常
檢查防火牆、防毒軟體的事件,或任何可疑的記錄。
檢查大量的登入嘗試錯誤或是被封鎖的賬戶。
www伺服器匯入web訪問日誌,並檢視分析web訪問日誌是否完整有攻擊痕 跡。
檢查www目錄是否存在webshell網頁木馬,重點檢查類似upload目錄。
3.檢查木馬和後門
關於檢查高階的木馬和後門應依次檢查這幾項:啟動項、程序、模組、核心、服務函式、聯網情。使用工具更進一步檢查隱藏木馬和後門程式,可以使用pchunter
開啟介面點選程序,我先對程序進行排查,隨便選中乙個程序右鍵選單點選校驗所有數字簽名,pchunter會以不同的顏色來顯示不同的程序種類。
數字簽名是微軟的程序:黑色
數字簽名非微軟的程序:藍色
微軟的程序,如果有些模組是非微軟的:土黃色
沒有簽名的模組:粉紅色
可疑程序,隱藏服務、被掛鉤函式:紅色
重點對數字簽名不是微軟的程序和驅動排查,尤其是無簽名斌並隱藏服務、被掛鉤的函式的程序和驅動,如:
Windows Server埠用盡服務不能訪問
應用程式頁面有時訪問正常,有時不能訪問。網上說是有連線沒有關閉,占用了埠資源,查一查,果然,程序都結束了,依然後很多time wait狀態的連線未釋放,再檢視所有的time wait連線,直接過去好幾屏,計數也不用了,肯定有問題。windows下檢視當前所有的tcp連線 netstat ano wi...
WindowsServer2012伺服器搭建記錄
新公司租用了一台阿里雲伺服器,目前公司沒有運維,作為伺服器,我就成了伺服器搭建的不二人選。1.申請的伺服器頻寬只有20m,安裝檔案超過5g,普通拷貝上傳方式太慢,而且一旦中斷就瞎了,鑑於理智的存在,我決定搭建ftp伺服器上傳。2.我使用filezillaserver,跟往常一樣,輕車熟路地建好伺服器...
windows server 簡化設定
win2012任務管理器顯示磁碟 管理員執行命令提示符,diskperf y 不要開機密碼 執行 netplwiz 勾去掉 執行 gpedit.msc 計算機設定 windows設定 安全設定 帳戶策略 密碼策略 密碼必須符合複雜性 要求改為 已禁用 最長使用期限改為 0 控制面板 使用者帳戶 使用...