0x01 序言

HVV开始，之前分享Linux下的入侵排查，现在补上Windows的入侵排查tricks，最近查看疑似问题终端比较多，个人感觉这些tricks应该可以帮助大家。

常见的应急响应事件分类：

web入侵：网页挂马、主页篡改、Webshell
系统入侵：病毒木马、勒索软件、远控后门
网络攻击：DDOS攻击、DNS劫持、ARP欺骗

0x02 应急排查思路

检查系统账号安全

1、查看服务器是否有弱口令

    询问服务器管理员

2、 远程管理端口是否对公网开放。

    a. 一般服务器管理员有地址映射表以及各台服务器端口开放情况

    b. 使用命令

    >netstat -ano|more   #查看端口开放情况以及详细进程等

3、查看服务器是否存在可疑账号、新增账号。

    a.打开 cmd 窗口，输入`lusrmgr.msc`命令，查看是否有新增/可疑的账号。

    b.打开cmd，使用命令

    >net user  #查看是否存在可以用户

    c.开始>控制面板>管理工具>用户和组 ,查看有用户，可以用户或者不熟悉用户查看是否已经禁用

4、查看服务器是否存在隐藏账号、克隆账号。

    a、打开注册表 ，查看管理员对应键值。

    b、使用D盾_web查杀工具，集成了对克隆账号检测的功能。

5、结合日志，查看管理员登录时间、用户名是否存在异常。

    a、Win+R打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”。

    b、导出Windows日志--安全，利用Log Parser进行分析。   

检查异常端口、进程

1、检查端口连接情况，是否有远程连接、可疑连接。

    a、netstat -ano 查看目前的网络连接，定位可疑的ESTABLISHED

    b、根据netstat 定位出的pid，再通过tasklist命令进行进程定位 tasklist  | findstr “PID”

2、进程查看

    a、D盾等工具的使用帮助查询进程信息

    b、打开D盾_web查杀工具，进程查看，关注没有签名信息的进程。

    c、通过微软官方提供的 Process Explorer 等工具进行排查 。

    d、查看可疑的进程及其子进程。可以通过观察以下内容：

>没有签名验证信息的进程
>没有描述信息的进程
>进程的属主
>进程的路径是否合法
>CPU或内存资源占用长时间过高的进程

3、tricks：

a、查看端口对应的PID

>netstat -ano | findstr “port”

b、查看进程对应的PID：任务管理器--查看--选择列--PID 或者

>tasklist  | findstr “PID”

c、查看进程对应的程序位置：

任务管理器--选择对应进程--右键打开文件位置

运行输入 wmic，cmd界面 输入  process

cmd输入命令

d、tasklist /svc   进程--PID--服务

e、查看Windows服务所对应的端口：%system%/system32/drivers/etc/services

f、删除可疑进程命令

>taskkill /f /im httpd.exe

检查启动项、计划任务、服务

1、检查服务器是否存在计划任务

    开始>控制面板>管理工具>计划任务

2、检查计划任务

    控制面板>任务计划，查看计划任务属性，便可以发现木马文件的路径。

    运行 cmd，然后输入

    >at

检查计算机与网络上的其它计算机之间的会话或计划任务，如有，则确认是否为正常连接。win10下一般会显示>>AT 命令已弃用。请改用 schtasks.exe

win10下使用命令**schtasks** 查看计划定时任务

3、服务自启动

>services.msc              #注意服务状态和启动类型，检查是否有异常服务

检查系统相关信息

1、查看系统版本以及补丁信息

    >systeminfo   #cmd查看系统信息

2、查找可疑目录及文件

    a、 查看用户目录，新建账号会在这个目录生成一个用户目录，查看是否有新建用户目录。

    >Window 2003  C:\Documents and Settings
    >Window 2008R2  C:\Users\

    b、单击->开始>【运行】，输入 **%UserProfile%\Recent** ,分析最近打开可疑文件。

    c、在服务器各个目录，可根据文件夹内文件列表时间进行排序，查找可疑文件。

    d、回收站、浏览器下载目录、浏览器历史记录

    e、修改时间在创建时间之前的为可疑文件

3、得到发现WEBSHELL、远控木马的创建时间，找出同一时间范围内创建的文件排查方法

    a、利用 Registry Workshop  注册表编辑器的搜索功能，可以找到最后写入时间区间的文件。

    b、利用计算机自带文件搜索功能，指定修改时间进行搜索。

日志分析

1、系统日志

    a.  开始>控制面板>管理工具>事件分析

    b、Win+R打开运行，输入**eventvwr.msc**，回车运行，打开**事件查看器**。

    C、导出应用程序日志、安全日志、系统日志，利用**Log Parser**进行分析。

2、WEB访问日志

    a、找到中间件的web日志。

    b、查看web目录文件修改日期

本文作者：Am1azi3ng

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/155313.html