windows应急响应入侵排查思路
生活随笔
收集整理的這篇文章主要介紹了
windows应急响应入侵排查思路
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
0x00 前言
? 當企業發生黑客入侵、系統崩潰或其它影響業務正常運行的安全事件時,急需第一時間進行處理,使企業的網絡信息系統在最短時間內恢復正常工作,進一步查找入侵來源,還原入侵事故過程,同時給出解決方案與防范措施,為企業挽回或減少經濟損失。
常見的應急響應事件分類:
web入侵:網頁掛馬、主頁篡改、Webshell
系統入侵:病毒木馬、勒索軟件、遠控后門
網絡攻擊:DDOS攻擊、DNS劫持、ARP欺騙
針對常見的攻擊事件,結合工作中應急響應事件分析和解決的方法,總結了一些Window服務器入侵排查的思路。
0x01 入侵排查思路
-
一、檢查系統賬號安全
-
1、查看服務器是否有弱口令,遠程管理端口是否對公網開放。
-
檢查方法:據實際情況咨詢相關服務器管理員。
-
-
2、查看服務器是否存在可疑賬號、新增賬號。
-
檢查方法:打開 cmd 窗口,輸入lusrmgr.msc命令,查看是否有新增/可疑的賬號,如有管理員群組的(Administrators)里的新增賬戶,如有,請立即禁用或刪除掉。
-
-
3、查看服務器是否存在隱藏賬號、克隆賬號。
-
檢查方法:
a、打開注冊表 ,查看管理員對應鍵值。
b、使用D盾_web查殺工具,集成了對克隆賬號檢測的功能。
-
-
總結
以上是生活随笔為你收集整理的windows应急响应入侵排查思路的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: l4d2服务器修改武器伤害,装备属性和武
- 下一篇: 计算机无法安装windows系统还原,w