应急响应篇-Windows被黑客入侵后需要做的几件事

/ 实用技巧 / 0 条评论 / 2685 浏览

本站的所有程序和文章,仅限用于学习和研究目的;不得用于商业或者非法用途,否则,一切后果请用户自负!!

前言

打算梳理两篇应急响应的文章,就先从windows开始,希望能帮到需要的朋友。

由于篇幅有限,有些东西不会细讲,有需要的话会单独出文章。本文如有不对欢迎指出。

Windows应急响应

应急响应篇-Windows被黑客入侵后需要做的几件事

常见的入侵:

web应用入侵:网页挂马、主页篡改、Webshell

应急排查思路:对web中间件日志进行分析,web应用日志分析

操作系统入侵:病毒木马、勒索软件、远控后门

应急排查思路:计划任务,日志分析,进程进行分析,流量分析

入侵排查

查看服务器是否存在可疑账号

检查方法:

1打开 cmd 窗口,输入lusrmgr.msc命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。

2.查看是否存在隐藏账号(用户名以$结尾的为隐藏用户,如:safe6$)。在cmd用net user命令是看不到的。

应急响应篇-Windows被黑客入侵后需要做的几件事

应急响应篇-Windows被黑客入侵后需要做的几件事

查看服务器是否存在克隆账号。

检查方法:

a、打开注册表 ,查看管理员对应键值。

b、使用D盾查杀工具,集成了对克隆账号检测的功能

应急响应篇-Windows被黑客入侵后需要做的几件事

查看服务器是否有弱口令

自查,不用多说

系统日志排查

windows的事件查看器导出用Log Parser Studio工具进行排查分析。

检查异常端口、进程

检查端口连接情况,是否有远程连接、可疑连接。

检查方法:

a、查看目前的网络连接,定位可疑的连接

netstat -ano

应急响应篇-Windows被黑客入侵后需要做的几件事

b、根据netstat 定位出的pid,再通过tasklist命令进行进程定位

tasklist | findstr “PID”

应急响应篇-Windows被黑客入侵后需要做的几件事

进程排查

检查方法:

a、开始--运行--输入msinfo32,依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期、启动时间等。

应急响应篇-Windows被黑客入侵后需要做的几件事

b、打开D盾_web查杀工具,进程查看,关注没有签名信息的进程。

应急响应篇-Windows被黑客入侵后需要做的几件事

c、查看可疑的进程及其子进程。可以通过观察以下内容:

没有签名验证信息的进程

没有描述信息的进程

进程的属主

进程的路径是否合法

CPU或内存资源占用长时间过高的进程

计划任务排查

通过命令查看计划任务

schtasks /delete /tn xxxTask

应急响应篇-Windows被黑客入侵后需要做的几件事

删除计划任务

schtasks /delete /tn xxxTask

删除对应计划任务文件夹(定位定时任务具体执行的程序)

存放计划任务的文件

  • C:\Windows\System32\Tasks\

  • C:\Windows\SysWOW64\Tasks\

  • C:\Windows\tasks\

  • *.job(指文件)

应急响应篇-Windows被黑客入侵后需要做的几件事

排查自启动项

通过借助工具autoruns进行查看,主要检查开机自启动以及一些系统服务(计划任务也可以排查)。

查看可疑目录及文件

a查看 host文件 :

type %systemroot%\\System32\\drivers\\etc\\hosts

b分析最近打开文件

Recent是系统文件夹,里面存放着你最近使用的文档的快捷方式,查看用户recent相关文件,通过分析最近打开分析可疑文件:

单击【开始】>【运行】,输入%UserProfile%\Recent,分析最近打开分析可疑文件。

应急响应篇-Windows被黑客入侵后需要做的几件事

c.tmp相关目录下查看有无异常文件 :Windows产生的临时文件

d.使用d盾对web程序部署路径查杀

e.使用杀毒软件全盘扫描

中间件日志和应用程序日志分析

注:重点分析是否上传webshell,sql注入,命令执行等操作

关注日志文件

tomcat:安装目录下logs文件夹
localhost_access_log.2020-06-01.txt

apache:安装目录下logs文件夹 access.log

nginx:安装目录下logs文件夹host.access.log

Windows Server 2003 iis6日志路径:C:\Windows\System32\LogFiles

Windows Server 2008 R2、2012、2016、2019 iis7以上日志路径:C:\inetpub\logs\LogFiles

具体web应用日志,看具体配置存放的位置。

应急响应篇-Windows被黑客入侵后需要做的几件事

系统工具替换后门排查

1系统工具替换后门(替换系统的自带程序,如放大镜,粘滞键,旁白)

检查下面的程序是否被替换(md5比对)

粘滞键:C:\Windows\System32\Sethc.exe

屏幕键盘: C:\Windows\System32\osk.exe

放大镜: C:\Windows\System32\Magnify.exe

旁白: C:\Windows\System32\Narrator.exe

显示切换器: C:\Windows\System32\DisplaySwitch.exe

应用切换器: C:\Windows\System32\AtBroker.exe

镜像劫持

比如打开qq会出现打开cmd

利用autoruns工具排查

应急响应篇-Windows被黑客入侵后需要做的几件事

waitfor.exe后门

通过Process Explorer工具查看是否有waitfor.exe进程,并进一步查看启动参数等。

bitsadmin后门

Bitsadmin从win7之后操作系统就默认包含,可以用来创建上传或者下载任务。Bistadmin可以指定下载成功之后要进行什么命令。后门就是利用的下载成功之后进行命令执行。

排查命令

bitsadmin /list /verbose

WMI后门

使用工具autoruns排查

应急响应篇-Windows被黑客入侵后需要做的几件事

进程注入排查

利用工具process explorer 、process monitor,较难排查。

本文最后编辑时间为: 2020-06-05

如本文对你有帮助,点击广告支持一下吧,创造不易。

safe6