Windows的应急
A_Snail Lv3

Windows的应急

学习过程中看到师傅文章,所以顺便做了个思维导图 师傅太强了 原文链接已放文末。

常见的应急响应事件分类。

web入侵

  • 网页挂马

  • 主页篡改

  • webshell

系统入侵

  • 病毒木马

  • 勒索病毒

  • 远控木马

网络攻击

  • ddos

  • dns劫持

  • arp欺骗

windows入侵排查

1.1 检查账号安全性

    1. 检查系统账号安全性。
    1. 查看服务器是否存在可疑或者新增账号
    • 检查方法:

      • Win+R打开运行窗口,输入lusrmgr.msc,查看是否有新增可疑的账号,如果有管理员群组里的新增账户,请立即禁用或者删掉
    • 管理员群组:

      • Administrators
    1. 查看服务器是否存在隐藏账号,克隆账号等。
    • 检查方法:

      • 打开注册表:查看对应键值

        • 第一步:Win+R打开运行窗口,输入regedit打开注册表编辑器
        • 第二步:选择 HKEY_LOCAL_MACHINE/SAM/SAM,默认无法查看
        • 第三步:右击SAM,权限,选择当前用户(一般是Administrator),将权限勾选为完全控制,然后确定并且关闭注册表
        • 第四步:选择 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users;
        • 第五步:在Names项下可以看到实例所有用户名
        • Tips:如果出现本地账户中没有的账户,即为隐藏账户,在确认为非系统用户的前提下,可删除此用户
      • 使用D盾_web查杀工具,集成了对克隆账号的检测功能

  • 结合日志,查看管理员登录时间、用户名是否存在异常。

    • 方法:

        1. Win+R打开运行窗口,输入eventvwr.msc,打开事件查看器。
        1. 导出Windows日志–安全,利用Log Parser进行分析

1.2 检查异常端口、进程

    1. netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED状态
    1. 根据netstat 确定PID,再通过tasklist | findstr “PID” 定位进程
    1. Win+R打开运行窗口,输入msinfo32,在【软件环境】-> 【正在运行的任务】通过PID和进程名定位,就可以看到进程的详细信息,比如进程路径、进程ID、文件创建日期、启动时间等。
    1. 在我们想要杀死进程的时候,可能因为进程绑定了系统服务,无法杀死,通过tasklist /svc 查看进程对应的服务。Win+R打开运行窗口,输入serivces.msc,关闭对应服务,然后在杀死进程。
    1. 查看Windows服务所对应的端口:
    • %system%/system32/drivers/etc/services (一般%system%就是C:\Windows)
  • Tips:当我们通过第3步确定落地文件之后,可以将可疑文件上传到威胁情报社区去做威胁情报检测。

1.3 检查启动项、计划任务、服务

  • 1、检查服务器是否有异常的启动项

      1. 登录服务器,单机【开始】-> 【所有程序】->【启动】,默认情况下此目录是一个空目录,确认是否有非业务程序在该目录下
      1. Win+R打开运行窗口,输入msconfig,查看是否存在命名异常的启动项目,是则取消勾选该启动项,并到命令中显示的路径除文件
      1. Win+R打开运行窗口,输入regedit打开注册表,查看开机启动项是否正常,注册表项如下:
      • HKEY_CURRENT_USER\SOFTWARE\Micorsoft\Windows\CurrentVersion\Run
      • HKEY_LOCAL_MACHINE\SOFTWARE\Micorsoft\Windows\CurrentVersion\Run
      • HKEY_LOCAL_MACHINE\SOFTWARE\Micorsoft\Windows\CurrentVersion\RunOnce检查右侧是否有启动异常的项目,有则删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。
      1. 利用安全软件查看启动项、开机时间管理等
      1. Win+R打开运行窗口,输入gpedit.msc打开本地组策略编辑器,单机【Windows】->【脚本(启动/关机)】->【启动】/【关机】查看是否有启动项
  • 2、检查计划任务

  • 3、服务自启动

1.4 检查系统相关信息

  • 1、查看系统版本以及补丁信息

    • 检查方法:Win+R打开运行窗口,输入systeminfo,查看系统信息
  • 2、查找可疑目录及文件

      1. 查看用户目录,新建账号会在这个目录生成一个用户目录
      • Windows Server 2003 : C:\Documents and Settings
      • Windows Server 2008R2 : C:\Users\
      1. Win+R 打开运行窗口,输入%UserProfile%\Recent,分析最近打开文件
      1. 在服务器各个目录,可根据文件夹内文件列表时间进行排序,查找可疑文件
      1. 回收站、浏览器下载目录、浏览器历史记录
      1. 修改时间在创建时间之前的为可疑文件
  • 3、得到发现Webshell、远控木马的创建时间,找同一时间范围内创建的文件

      1. 利用Registry Workshop 注册表编辑器的搜索功能,可以找到最后写入时间区间的文件
      1. 利用计算机自带的文件搜索功能,指定修改时间进行搜索

1.5 自动化查杀

  • 1、病毒查杀

    • 检查方法:下载安全软件,更新最新病毒库,进行全盘扫描
  • 2、webshell查杀

    • 检查方法:选择具体的站点路径进行webshell查杀,建议使用两款或者多款查杀工具同时查杀,可以相互补充规则库的不足

1.6 日志分析

  • 1、系统日志

      1. 前提:开启审核策略,若日后出现系统故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵的信息等。
      1. Win+R打开运行窗口,输入eventvwr.msc,打开事件查看器
      1. 导出应用程序日志、安全日志、系统日志,利用Log Parser进行分析
  • 2、web访问日志

      1. 找到中间件的web日志,打包到本地方便进行分析
      1. Windows推荐使用EmEditor进行日志分析;Linux推荐使用shell命令组合查询分析
  • 常见日志存放路径

    • 1、apache服务器

      • Windows : <Apache安装目录>\logs\access.log
      • Linux :/usr/local/apache/logs/access.log
      • 若不存在,参考Apache配置文件httpd.conf中相关配置
    • 2、tomcat服务器

      • 日志文件通常位于Tomcat安装目录下的logs文件夹内,若不存在,则参考Tomcat配置文件Server.xml中的相关配置 ,如:

        • directory=”logs” prefix=”localhost_access_log.”
        • suffix=”.txt”
        • pattern=”common” resolveHosts=”false”/>
    • 3、IIS服务器

      • 默认位置:%systemroot%\system32\logfiles\ 可自由设置
      • 默认日志命名方式:ex+年份的末两位数字+月份+日期+.log
    • 4、Nginx

      • 日志存储路径在Nginx配置文件中,其中:
      • Access_log变量规定了日志存放路径与名字,以及日志格式名称,默认值”access_log”
    • 5、Jboss

      • 默认不做访问日志记录
      • 修改${JBOSS_HOME}/server/default/deploy/jbossweb.sar/server.xml(不同版本文件位置不一样)
      • 日志保存在${JBOSS_HOME}/server/default/log/下,前缀为:localhost_access_log

关于配置文件

  • Tomcat: server.xml 会有服务器端口配置,日志配置等
  • Apache: httpd.conf是apache主要配置文件,包括端口,模块启用,日志配置等
  • Nginx: nginx.conf是主要配置文件,会有端口,重写,代理等配置,也会有日志配置等。
  • IIS: web.config 是主要配置文件,通过IIS界面修改的配置会保存到web.config里,包括重写等操作,日志配置一般不变,通过界面就可查看

参考链接: https://blog.csdn.net/weixin_44727454/article/details/125605281
下面附上思维导图

我好菜 太废物了 淦

image