Windows入侵排查秘籍:锁死安全漏洞

1 检查系统账号安全

1.1 查看服务器是否有弱口令,远程管理端口是否对公网开放

检查方法:

据实际情况咨询相关服务器管理员。

1.2 查看服务器是否存在可疑账号、新增账号

检查方法:

打开 cmd 窗口,输入 lusrmgr.msc 命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,请立即禁用或删除。

我们通过 net user /add 来添加账号,如果末尾添加$,说明这是一个隐藏账号,通过 net user 查看是无法发现隐藏账号的,但是我们 lusrmgr.msc 打开本地用户,则可以发现隐藏用户,如果有异常用户则将其删除。

image-20240726103932620

image-20240726143122143

1.3 结合日志,查看管理员登录时间、用户名是否存在异常

检查方法:

a、Win+R 打开运行,输入"eventvwr.msc",回车运行,打开"事件查看器",点击“安全”。

image-20240726104325339

b、导出 Windows 日志 -- 将所有事件另存为,利用微软官方工具 Log Parser 进行分析。 工具下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=24659

LogParser.exe -i:evt "select top 100 * from 'D:\Security.evtx'" -o:DATAGRID

参数使用 -i:<输入源> 中间部分,sql语句 -o:<输出格式>

示例:

LogParser.exe -i:evt "select top 100 * from 'D:\Security_20240726.evtx'" -o:DATAGRID

image-20240726112227484

image-20240726111838814

2 检查异常端口、进程、启动项

2.1 检查网络连接情况,是否有远程连接、可疑连接

检查方法:

  1. 使用 netstat -ano 命令查看目前的网络连接,定位可疑的 ESTABLISHED

ESTABLISHED:完成连接并正在进行数据通信的状态。 LISTENING:表示处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接。 CLOSE_WAIT:对方主动关闭连接或者网络异常导致连接中断。 TIME_WAIT:我方主动调用close()断开连接,收到对方确认后状态变为TIME_WAIT。

image-20240726112547515

  1. 根据 netstat 命令定位出的 PID 编号,再通过 tasklist 命令进行进程定位 tasklist | findstr "PID"

image-20240726112745325

可以进一步去任务管理器中确认(不一定能找到)

image-20240726113517905

2.2 检查异常进程

检查方法:

依据进程名称查看是否有可疑进程,比如xxxxx.exe可能是木马。 tasklist /svc

image-20240726113643134

  1. 开始 -- 运行 -- 输入 msinfo32 命令,依次点击 "软件环境 -- 正在运行任务" 就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期以及启动时间等。

image-20240726113907290

  1. 通过微软官方提供的 Process Explorer 等工具进行排查,工具下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

image-20240726114227009

  1. 查看可疑的进程及其子进程,可以通过观察以下内容 :没有签名验证信息的进程、没有描述信息的进程、进程的属主、进程的路径是否合法、CPU或内存资源占用长时间过高的进程(比如挖矿)

常用命令:

a. 查看端口对应的 PID:netstat -ano | findstr "port"

b. 查看进程对应的 PID:任务管理器 -- 查看 -- 选择列 -- PID 或者 tasklist | findstr "PID"

c. 查看进程对应的程序位置: 任务管理器 -- 选择对应进程 -- 右键打开文件位置/运行输入wmic,cmd 界面输入 process

d. tasklist /svc 进程 -- PID -- 服务

f. 查看Windows服务所对应的端口: %systemroot%/system32/drivers/etc/services(一般 %systemroot% 就是 C:\Windows 路径)

2.3 检查启动项

检查服务器是否有异常的启动项

检查方法:

  1. 登录服务器,单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。

  2. 单击开始菜单 >【运行】,输入 msconfig ,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。

image-20240726141804585

  1. 单击【开始】>【运行】,输入 regedit,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

image-20240726142547369

检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。

  1. 利用安全软件查看启动项、开机时间管理等。

  2. 组策略,运行 gpedit.msc

image-20240726142753222

**原文链接:**https://mp.weixin.qq.com/s?__biz=MzkxNzI1OTE3Mw==&mid=2247492289&idx=1&sn=0ded47697cbe4cfe505f2c128ab093d8&chksm=c141f40bf6367d1d68588e13e9771f75fc73fed788ce744549ac3a9db4f19a7890fa486dc8d4#rd

👍 点赞,你的认可是我创作的动力!

⭐️ 收藏,你的青睐是我努力的方向!

✏️ 评论,你的意见是我进步的财富!

img