如果服務(wù)器被入侵肯定會(huì)留下痕跡�����,那么我們首先應(yīng)該檢查下發(fā)生異常的時(shí)間��、發(fā)生異常的現(xiàn)象是什么����?根據(jù)相應(yīng)的情況來(lái)檢查下具體事件。
一�、檢查系統(tǒng)賬號(hào)安全
1、查看服務(wù)器是否有弱口令���,遠(yuǎn)程管理端口是否對(duì)公網(wǎng)開(kāi)放�。
2����、查看服務(wù)器是否存在可疑賬號(hào)、新增賬號(hào)�����。
打開(kāi) cmd 窗口�����,輸入lusrmgr.msc命令,查看是否有新增/可疑的賬號(hào)�。
3、查看服務(wù)器是否存在隱藏賬號(hào)����、克隆賬號(hào)
在cmd中輸入:net user 看看有沒(méi)有陌生用戶(hù)
在cmd中輸入:regedit 找到注冊(cè)表分支“HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names/”看看有沒(méi)有克隆用戶(hù)
二、檢查網(wǎng)絡(luò)
在cmd命令行中輸入 netstat -ano 查看目前的網(wǎng)絡(luò)連接�,定位可疑的pid。
根據(jù)定位出的pid��,再通過(guò)tasklist命令進(jìn)行進(jìn)程定位 tasklist | findstr “PID”
發(fā)現(xiàn)的感覺(jué)異常的 IP 地址可以在威脅情報(bào)平臺(tái)上查詢(xún)��,如果是已知的惡意 IP��,可以比較快速的確認(rèn)攻擊方式�����。
三���、檢查日志、啟動(dòng)項(xiàng)�、計(jì)劃任務(wù)
1、結(jié)合日志�����,查看管理員登錄時(shí)間、用戶(hù)名是否存在異常���。
首先Win+R打開(kāi)運(yùn)行�����,輸入“eventvwr.msc”����,回車(chē)運(yùn)行����,打開(kāi)“事件查看器”。系統(tǒng)日志包含Windows系統(tǒng)組件記錄的事件����。應(yīng)用程序日志包含由應(yīng)用程序或程序記錄的事件。安全日志包含諸如有效和無(wú)效的登錄嘗試等事件����,以及與資源使用相關(guān)的事件,如創(chuàng)建、打開(kāi)或刪除文件或其他對(duì)象���。
常用事件 ID 以及他代表的事件含義如下:
登錄類(lèi)型ID
查看遠(yuǎn)程登陸事件
遠(yuǎn)程連接日志(應(yīng)用程序和服務(wù)日志->Microsoft->Windows->-TerminalServices->RemoteConnectionManager->Operational)
重要事件以及ID含義:
2����、查看啟動(dòng)項(xiàng)
(1)按下win+r鍵打開(kāi)運(yùn)行�,輸入 shell:startup 打開(kāi)開(kāi)機(jī)啟動(dòng)項(xiàng)文件夾,檢查是否有可疑自啟動(dòng)文件����。
(2)按下win+r鍵打開(kāi)運(yùn)行,輸入msconfig 查看是否存在命名異常的啟動(dòng)項(xiàng)目�,是則取消勾選命名異常的啟動(dòng)項(xiàng)目,并到命令中顯示的路徑刪除文件��。
(3)按下win+r鍵打開(kāi)運(yùn)行�����,輸入regedit 打開(kāi)注冊(cè)表�,查看開(kāi)機(jī)啟動(dòng)項(xiàng)是否正常��,特別注意如下三個(gè)注冊(cè)表項(xiàng):
HKEY_CURRENT_USERsoftwaremicorsoftwindowscurrentversion un
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce
3��、查看計(jì)劃任務(wù)
按下win+r鍵打開(kāi)運(yùn)行��,輸入taskschd.msc 打開(kāi)任務(wù)計(jì)劃,查看有沒(méi)有可疑的計(jì)劃任務(wù)�。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
