windows 入侵排查

前言

當企業發生黑客入侵、系統崩潰或其它影響業務正常運行的安全事件時，急需第一時間進行處理，使企業的網絡信息系統在最短時間內恢復正常工作，進一步查找入侵來源，還原入侵事故過程，同時給出解決方案與防范措施，為企業挽回或減少經濟損失。

常見的應急響應事件分類：

Web 入侵：網頁掛馬、主頁篡改、Webshell

系統入侵：病毒木馬、勒索軟件、遠控后門

網絡攻擊：DDOS 攻擊、DNS 劫持、ARP 欺騙

針對常見的攻擊事件，結合工作中應急響應事件分析和解決的方法，總結了一些 Windows 服務器入侵排查的思路。

入侵排查思路

一、檢查系統賬號安全

1、查看服務器是否有弱口令，遠程管理端口是否對公網開放。

• 檢查方法：據實際情況咨詢相關服務器管理員。

2、查看服務器是否存在可疑賬號、新增賬號。

• 檢查方法：打開 cmd 窗口，輸入 lusrmgr.msc 命令，查看是否有新增/可疑的賬號，如有管理員群組的（Administrators）里的新增賬戶，如有，請立即禁用或刪除掉。

3、查看服務器是否存在隱藏賬號、克隆賬號。

• 檢查方法：

  a、打開注冊表 ，查看管理員對應鍵值。

  b、使用D盾_web查殺工具，集成了對克隆賬號檢測的功能。

4、結合日志，查看管理員登錄時間、用戶名是否存在異常。

• 檢查方法：

  a、Win+R 打開運行，輸入"eventvwr.msc"，回車運行，打開“事件查看器”。

  b、導出 Windows 日志 – 安全，利用微軟官方工具 Log Parser 進行分析。

二、 檢查異常端口、進程

1、檢查端口連接情況，是否有遠程連接、可疑連接。

• 檢查方法：

  a、使用netstat -ano 命令查看目前的網絡連接，定位可疑的 ESTABLISHED

  b、根據 netstat 命令定位出的 PID 編號，再通過 tasklist 命令進行進程定位 tasklist | findstr "PID"

2、進程

• 檢查方法：

  a、開始 – 運行 – 輸入 msinfo32 命令，依次點擊 “軟件環境 – 正在運行任務” 就可以查看到進程的詳細信息，比如進程路徑、進程ID、文件創建日期以及啟動時間等。

  b、打開D盾_web查殺工具，進程查看，關注沒有簽名信息的進程。

  c、通過微軟官方提供的 Process Explorer 等工具進行排查 。

  d、查看可疑的進程及其子進程。可以通過觀察以下內容：

  沒有簽名驗證信息的進程沒有描述信息的進程進程的屬主進程的路徑是否合法CPU 或內存資源占用長時間過高的進程

3、小技巧：

? a、查看端口對應的 PID：netstat -ano | findstr "port"

? b、查看進程對應的 PID：任務管理器 – 查看 – 選擇列 – PID 或者 tasklist | findstr "PID"

? c、查看進程對應的程序位置：

? 任務管理器 – 選擇對應進程 – 右鍵打開文件位置

? 運行輸入 wmic，cmd 界面輸入 process

? d、tasklist /svc 進程 – PID – 服務

? e、查看Windows服務所對應的端口：

? %systemroot%/system32/drivers/etc/services（一般 %systemroot% 就是 C:\Windows 路徑）

三、檢查啟動項、計劃任務、服務

1、檢查服務器是否有異常的啟動項。

• 檢查方法：

  a、登錄服務器，單擊【開始】>【所有程序】>【啟動】，默認情況下此目錄在是一個空目錄，確認是否有非業務程序在該目錄下。
  b、單擊開始菜單 >【運行】，輸入 msconfig，查看是否存在命名異常的啟動項目，是則取消勾選命名異常的啟動項目，并到命令中顯示的路徑刪除文件。
  c、單擊【開始】>【運行】，輸入 regedit，打開注冊表，查看開機啟動項是否正常，特別注意如下三個注冊表項：

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

檢查右側是否有啟動異常的項目，如有請刪除，并建議安裝殺毒軟件進行病毒查殺，清除殘留病毒或木馬。d、利用安全軟件查看啟動項、開機時間管理等。e、組策略，運行 `gpedit.msc`2、檢查計劃任務* 檢查方法：a、單擊【開始】>【設置】>【控制面板】>【任務計劃】，查看計劃任務屬性，便可以發現木馬文件的路徑。b、單擊【開始】>【運行】；輸入 `cmd`，然后輸入 `at`，檢查計算機與網絡上的其它計算機之間的會話或計劃任務，如有，則確認是否為正常連接。3、服務自啟動* 檢查方法：單擊【開始】>【運行】，輸入 `services.msc`，注意服務狀態和啟動類型，檢查是否有異常服務。#### 四、 檢查系統相關信息1、查看系統版本以及補丁信息* 檢查方法：單擊【開始】>【運行】，輸入 `systeminfo`，查看系統信息。2、查找可疑目錄及文件* 檢查方法：a、 查看用戶目錄，新建賬號會在這個目錄生成一個用戶目錄，查看是否有新建用戶目錄。

Window 2003版本 C:\Documents and Settings
Window 2008R2及以后版本 C:\Users\

b、單擊【開始】>【運行】，輸入 `%UserProfile%\Recent`，分析最近打開分析可疑文件。c、在服務器各個目錄，可根據文件夾內文件列表時間進行排序，查找可疑文件。d、回收站、瀏覽器下載目錄、瀏覽器歷史記錄e、修改時間在創建時間之前的為可疑文件3、發現并得到 WebShell、遠控木馬的創建時間，如何找出同一時間范圍內創建的文件？a、利用 [Registry Workshop](http://www.torchsoft.com/en/rw_information.html) 注冊表編輯器的搜索功能，可以找到最后寫入時間區間的文件。 b、利用計算機自帶文件搜索功能，指定修改時間進行搜索。#### 五、 自動化查殺* 病毒查殺* 檢查方法：下載安全軟件，更新最新病毒庫，進行全盤掃描。* webshell查殺* 檢查方法：選擇具體站點路徑進行webshell查殺，建議使用兩款 WebShell 查殺工具同時查殺，可相互補充規則庫的不足。#### 六、日志分析系統日志* 分析方法：a、前提：開啟審核策略，若日后系統出現故障、安全事故則可以查看系統的日志文件，排除故障，追查入侵者的信息等。b、Win+R 打開運行，輸入 "eventvwr.msc"，回車運行，打開"事件查看器"。C、導出應用程序日志、安全日志、系統日志，利用 [Log Parser](https://www.microsoft.com/en-us/download/details.aspx?id=24659) 進行分析。Web 訪問日志* 分析方法：a、找到中間件的web日志，打包到本地方便進行分析。b、推薦工具：Windows 下，推薦用 EmEditor 進行日志分析，支持大文本，搜索效率還不錯。Linux 下，使用 Shell 命令組合查詢分析。### 工具篇#### 病毒分析 PCHunter：http://www.xuetr.com火絨劍：https://www.huorong.cnProcess Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorerprocesshacker：https://processhacker.sourceforge.io/downloads.phpautoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autorunsOTL：https://www.bleepingcomputer.com/download/otl/SysInspector：http://download.eset.com.cn/download/detail/?product=sysinspector#### 病毒查殺卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe （推薦理由：綠色版、最新病毒庫）大蜘蛛：http://free.drweb.ru/download+cureit+free（推薦理由：掃描快、一次下載只能用1周，更新病毒庫）火絨安全軟件：https://www.huorong.cn360殺毒：http://sd.360.cn/download_center.html#### 病毒動態CVERC-國家計算機病毒應急處理中心：http://www.cverc.org.cn微步在線威脅情報社區：https://x.threatbook.cn火絨安全論壇：http://bbs.huorong.cn/forum-59-1.html愛毒霸社區：http://bbs.duba.net騰訊電腦管家：http://bbs.guanjia.qq.com/forum-2-1.html#### 在線病毒掃描網站Virustotal：https://www.virustotal.comVirscan：http://www.virscan.org騰訊哈勃分析系統：https://habo.qq.comJotti 惡意軟件掃描系統：https://virusscan.jotti.org#### webshell查殺D盾_Web查殺：http://www.d99net.net/index.asp河馬 WebShell 查殺：http://www.shellpub.com

總結

以上是生活随笔為你收集整理的应急响应 - Windows 入侵排查的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。