檢查系統是否存在弱口令、可疑賬號、新增賬號
檢查伺服器是否有異常的啟動項
登陸伺服器,【單擊開始】=》【所有程式】=》【啟動】,預設情況下此目錄是乙個空目錄,確認是否有非業務程式在該目錄下
win+r輸入msconfig或開啟任務管理器,檢視是否存在命名異常的啟動專案,是則取消勾選並找到改檔案並刪除
win+r輸入regedit開啟登錄檔,檢視開機啟動項是否正常,特別注意如下3個登錄檔
◆hkey_current_user\software\micorsoft\windows\currentversion\run
◆hkey_local_machine\software\microsoft\windows\currentversion\run
◆hkey_local_machine\software\microsoft\windows\currentversion\runonce
檢查右側是否有啟動異常的專案,如有請刪除並進行病毒查殺,清楚殘留病毒或木馬利用安全軟體檢視啟動項、開機時間管理等
組策略,執行gpedit.msc
at 命令已棄用。請改用 schtasks.exewin+r輸入services.msc,注意服務狀態和啟動型別,檢查是否有異常服務
在cmd中輸入systeminfo檢視系統版本以及補丁資訊
檢查方法:選擇具體站點路徑進行webshell查殺,建議使用兩款webshell查殺工具同時查殺,可互相補充規則庫的不足
不借助工具:利用上述的事件檢視器
對於windows事件日誌分析,不同的event id代表了不同的意義,每個成功登陸的事件都會標記乙個登陸型別,不同登陸型別代表不同的方式
借助工具:log parser、event log explorer
logparser -i:evt –o:datagrid "select extract_token(message,13,' ') as eventtype,timegenerated as logintime,extract_token(strings,5,'|') as username,extract_token(message,38,' ') as loginip from 1.evtx where eventid=4624"web訪問日誌分析技巧
以apache access.log日誌為例
windows應急響應入侵排查思路
當企業發生黑客入侵 系統崩潰或其它影響業務正常執行的安全事件時,急需第一時間進行處理,使企業的網路資訊系統在最短時間內恢復正常工作,進一步查詢入侵 還原入侵事故過程,同時給出解決方案與防範措施,為企業挽回或減少經濟損失。常見的應急響應事件分類 web入侵 網頁掛馬 主頁篡改 webshell 系統入...
Windows 入侵排查
當企業發生黑客入侵 系統崩潰或其它影響業務正常執行的安全事件時,急需第一時間進行處理,使企業的網路資訊系統在最短時間內恢復正常工作,進一步查詢入侵 還原入侵事故過程,同時給出解決方案與防範措施,為企業挽回或減少經濟損失。常見的應急響應事件分類 web 入侵 網頁掛馬 主頁篡改 webshell 系統...
Windows入侵問題排查
1 檢視伺服器已有系統或應用帳戶是否存在弱口令 檢查方法 根據實際情況自行確認。風險性 高 2 檢視下伺服器內是否有非系統和使用者本身建立的帳戶 3 檢查是否存在隱藏帳戶名 1 檢查是否存在惡意程序在系統後台執行 1 檢查伺服器內部是否有異常的啟動項 2 檢視正在連線的會話 1 如果您伺服器內有執行...