0x00 前言

當企業發生黑客入侵、系統崩潰或其它影響業務正常運行的安全事件時，急需第一時間進行處理，使企業的網路信息系統在最短時間內恢復正常工作，進一步查找入侵來源，還原入侵事故過程，同時給出解決方案與防範措施，為企業挽回或減少經濟損失。常見的應急響應事件分類：web入侵：網頁掛馬、主頁篡改、Webshell系統入侵：病毒木馬、勒索軟體、遠控後門網路攻擊：DDOS攻擊、DNS劫持、ARP欺騙針對常見的攻擊事件，結合工作中應急響應事件分析和解決的方法，總結了一些Window伺服器入侵排查的思路。

0x01 入侵排查思路

一、檢查系統賬號安全

1、查看伺服器是否有弱口令，遠程管理埠是否對公網開放。

檢查方法：據實際情況諮詢相關伺服器管理員。

2、查看伺服器是否存在可疑賬號、新增賬號。

檢查方法：打開 cmd 窗口，輸入命令，查看是否有新增/可疑的賬號，如有管理員群組的（Administrators）里的新增賬戶，如有，請立即禁用或刪除掉。

3、查看伺服器是否存在隱藏賬號、克隆賬號。

檢查方法：a、打開註冊表 ，查看管理員對應鍵值。b、使用D盾_web查殺工具，集成了對克隆賬號檢測的功能。

4、結合日誌，查看管理員登錄時間、用戶名是否存在異常。

檢查方法：a、Win+R打開運行，輸入「eventvwr.msc」，回車運行，打開「事件查看器」。b、導出Windows日誌--安全，利用Log Parser進行分析。

二、檢查異常埠、進程

1、檢查埠連接情況，是否有遠程連接、可疑連接。

檢查方法：a、netstat -ano 查看目前的網路連接，定位可疑的ESTABLISHEDb、根據netstat 定位出的pid，再通過tasklist命令進行進程定位 tasklist | findstr 「PID」

2、進程

檢查方法：a、開始--運行--輸入msinfo32，依次點擊「軟體環境→正在運行任務」就可以查看到進程的詳細信息，比如進程路徑、進程ID、文件創建日期、啟動時間等。b、打開D盾_web查殺工具，進程查看，關注沒有簽名信息的進程。c、通過微軟官方提供的 Process Explorer 等工具進行排查 。d、查看可疑的進程及其子進程。可以通過觀察以下內容：

沒有簽名驗證信息的進程

沒有描述信息的進程

進程的屬主

進程的路徑是否合法

CPU或內存資源佔用長時間過高的進程

3、小技巧：a、查看埠對應的PID： netstat -ano | findstr 「port」b、查看進程對應的PID：任務管理器--查看--選擇列--PID 或者 tasklist | findstr 「PID」c、查看進程對應的程序位置：任務管理器--選擇對應進程--右鍵打開文件位置運行輸入 wmic，cmd界面 輸入 processd、tasklist /svc 進程--PID--服務e、查看Windows服務所對應的埠：%system%/system32/drivers/etc/services（一般%system%就是C:Windows）三、檢查啟動項、計劃任務、服務1、檢查伺服器是否有異常的啟動項。

檢查方法：

a、登錄伺服器，單擊【開始】>【所有程序】>【啟動】，默認情況下此目錄在是一個空目錄，確認是否有非業務程序在該目錄下。b、單擊開始菜單 >【運行】，輸入 msconfig，查看是否存在命名異常的啟動項目，是則取消勾選命名異常的啟動項目，併到命令中顯示的路徑刪除文件。c、單擊【開始】>【運行】，輸入 regedit，打開註冊表，查看開機啟動項是否正常，特別注意如下三個註冊表項：

檢查右側是否有啟動異常的項目，如有請刪除，並建議安裝殺毒軟體進行病毒查殺，清除殘留病毒或木馬。d、利用安全軟體查看啟動項、開機時間管理等。e、組策略，運行gpedit.msc。

2、檢查計劃任務

檢查方法：

a、單擊【開始】>【設置】>【控制面板】>【任務計劃】，查看計劃任務屬性，便可以發現木馬文件的路徑。b、單擊【開始】>【運行】；輸入 cmd，然後輸入at，檢查計算機與網路上的其它計算機之間的會話或計劃任務，如有，則確認是否為正常連接。3、服務自啟動

檢查方法：單擊【開始】>【運行】，輸入services.msc，注意服務狀態和啟動類型，檢查是否有異常服務。

四、檢查系統相關信息

1、查看系統版本以及補丁信息

檢查方法：單擊【開始】>【運行】，輸入systeminfo，查看系統信息

2、查找可疑目錄及文件

檢查方法：a、 查看用戶目錄，新建賬號會在這個目錄生成一個用戶目錄，查看是否有新建用戶目錄。Window 2003 C:Documents and SettingsWindow 2008R2 C:Users、單擊【開始】>【運行】，輸入%UserProfile%Recent，分析最近打開分析可疑文件。c、在伺服器各個目錄，可根據文件夾內文件列表時間進行排序，查找可疑文件。

五、自動化查殺

1、病毒查殺

檢查方法：下載安全軟體，更新最新病毒庫，進行全盤掃描。

2、webshell查殺

檢查方法：選擇具體站點路徑進行webshell查殺，建議使用兩款webshell查殺工具同時查殺，可相互補充規則庫的不足。

六、日誌分析

1、系統日誌

分析方法：a、前提：開啟審核策略，若日後系統出現故障、安全事故則可以查看系統的日誌文件，排除故障，追查入侵者的信息等。b、Win+R打開運行，輸入「eventvwr.msc」，回車運行，打開「事件查看器」。C、導出應用程序日誌、安全日誌、系統日誌，利用Log Parser進行分析。

2、WEB訪問日誌

分析方法：a、找到中間件的web日誌，打包到本地方便進行分析。b、推薦工具：Window下，推薦用 EmEditor 進行日誌分析，支持大文本，搜索效率還不錯。 Linux下，使用Shell命令組合查詢分析

0x03 工具篇

病毒分析 ：

病毒查殺：

病毒動態：

在線病毒掃描網站：

webshell查殺：

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！