声明
仅供学习,禁止用于违法行为。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
本文转载于鹏组安全
1、自动化查杀
1、安装杀毒软件(例如:360安全卫士、火绒安全,电脑管家),更新最新病毒库,进行杀毒扫描
2、使用webshell查杀工具进行后门木马查杀(D盾、河马)
3、网站用户及系统用户安全
1、网站服务器或主机是否存在弱口令用户,有无对外开放端口(例如:3389)
向相关的网站管理人员了解情况,如果存在弱口令,请立即更改。
2、主机是否存在新增、隐藏用户、克隆用户
1、打开cmd窗口输入 lusrmgr.msc命令,会弹出一 本地用户或组的管理器,查看 用户和组中是否有新增的账号 ,如有,立即删除掉。如下图
隐藏用户和克隆用户查看方式,如下:
使用D盾_web查杀工具,里面有个克隆账号检测功能,非常好用。
3、通过日志,查看所有用户登录是否存在异常。(4624:登录成功)
cmd中输入eventvwr.msc,弹出事件查看器,可手工进行分析,如下图。
也可导出 Windows 日志中所有的安全事件,使用工具 Log Parser 查看是否有异常的事件
以下命令:查看账号登录成功的情况(可以看到有哪些账号成功登录,如发现不是管理人员创建的登录成功了,请立即删除改用户)
LogParser.exe -i:EVT "SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username FROM d:\log\test.evtx where EventID=4624"
2、端口、进程
1、检查异常端口
cmd中输入netstat命令查看网络连接, 查看已经建立的连接 (ESTABLISHED)
netstat -ano #目前的所有网络连接
netstat查出来的可疑连接的 PID,通过 tasklist 命令进行进程定位 ,可以查看到文件名称
tasklist | findstr "PID"
查看windows服务所对应的端口(有利于排查可疑进程)
%systemroot%/system32/drivers/etc/services(一般 %systemroot% 就是 C:\Windows 路径
2、检查异常进程
1、命令: tasklist
cmd中输入msinfo32弹出系统信息,里面也有进程详细信息
msinfo32
2、图形化
鼠标右键任务栏-->找到任务管理器-->左键单击打卡即可
3、工具(例如:D盾_web查杀工具)
没有签名的要特别关注
查看可疑进程时候应该特别关注如:
没有签名验证信息的
没有描述信息的
进程的属主
进程的路径是否合法
CPU 或内存资源占用长时间过高的进程
4、启动项、计划任务、服务
1、检查主机是否有异常的启动项。
在cmd中输入 msconfig,来到系统配置点击启动,来到任务管理器查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。
win+r,输入 regedit,打开注册表,查看开机启动项是否正常,注意如下三个注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。
利用杀毒软件查看启动项、开机时间管理等。(火绒、360、电脑管家)
运行 gpedit.msc打开组策略,在里面可疑看到是否有启动的脚本,如果不是自己人编写的请立即删除。
2、检查计划任务
控制面板中打开任务计划,查看计划任务属性,便可以发现木马文件的路径。
cmd中输入 at(有些是输入schtasks.exe),查看计算机与网络上的其它计算机之间的会话或计划任务是否可疑。
3、服务自启动
cmd中输入 services.msc,查看是否存在异常服务
5、系统相关信息
1、查看主机系统的相关信息
cmd中输入 systeminfo,查看系统信息。
systeminfo
2、查找可疑目录及文件
默认用户目录,新用户会在这个目录生成一个用户目录,如果是可疑的目录请检查用户删除该用户,命令如下:
Window 2003版本 C:\Documents and Settings
Window 2008R2及以后版本 C:\Users\
我的用户目录文件如下:
分析最近打开分析可疑文件
单击win+R,输入如下命令进行查看
%UserProfile%\Recent
在主机的敏感目录,文件夹内点击修改日期进行排序,查看最近是否有新增可疑文件。
回收站内、浏览器下载目录、浏览器历史记录是否有可疑文件
查找某文件修改时间在创建时间之前的为可疑文件
属性里-->常规处有创建文件日期,与修改日期进行对比,如下图所示
3、找出相同内创建的木马
利用计算机自带文件搜索功能,指定修改时间进行搜索。
使用软件everything进行搜索查看
6、日志分析
系统日志
在事件查看器查看器中进行分析,或者导出应用程序日志、安全日志、系统日志,利用 Log Parser进行分析。
Web日志
将web的访问日志进行打包下载,使用日志分析工具进行分析异常
Windows日志分析工具: EmEdito。Linux 日志分析工具: Shell 命令组合查询分析
7、结尾
和师傅们一起成长,努力学习网络安全知识。