应急响应:window入侵排查

最新推荐文章于 2025-11-26 06:45:00 发布
原创 最新推荐文章于 2025-11-26 06:45:00 发布 · 879 阅读 · 15
文章标签:

#安全 #web安全

第1篇:window入侵排查

0x00 前言

当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。

常见的应急响应事件分类:

web入侵:网页挂马、主页篡改、Webshell

系统入侵:病毒木马、勒索软件、远控后门

网络攻击:DDOS攻击、DNS劫持、ARP欺骗

针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入侵排查的思路。

0x01 入侵排查思路

1.1 检查系统账号安全

1、查看服务器是否有弱口令,远程管理端口是否对公网开放。

  • 检查方法:据实际情况咨询相关服务器管理员。

2、查看服务器是否存在可疑账号、新增账号。

  • 检查方法:打开 cmd 窗口,输入lusrmgr.msc命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。

3、查看服务器是否存在隐藏账号、克隆账号。

  • 检查方法:

    a、打开注册表 ,查看管理员对应键值。

    b、使用D盾_web查杀工具,集成了对克隆账号检测的功能。

4、结合日志,查看管理员登录时间、用户名是否存在异常。

  • 检查方法:

    a、Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。

    b、导出Windows日志--安全,利用Log Parser进行分析。

1.2 检查异常端口、进程

1、检查端口连接情况,是否有远程连接、可疑连接。

  • 检查方法:

    a、netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED

    b、根据netstat 定位出的pid,再通过tasklist命令进行进程定位 tasklist | findstr “PID”

2、进程

  • 检查方法:

    a、开始--运行--输入msinfo32,依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期、启动时间等。

最低0.47元/天 解锁文章
Window入侵排查
qq_40907977的博客
12-26 1135
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP...
第1篇:windows 入侵排查
大熊
06-09 675
应急响应
Linux杀毒
大国小匠-深空信息
10-22 1500
KVRT(全称:Kaspersky Virus Removal Tool)是卡巴斯基出品的免费Linux杀毒工具。
Windows服务器被入侵后如何实现排查工作,应该从那几方面入手,排查什么内容
tigerman20201的博客
11-25 1882
1. 检查系统账号 (1) 检查远程管理端口是否对公网开放,服务器是否存在弱口令。 检查方法: 检查防火墙映射规则,获取服务器账号登录,也可根据实际情况咨询相关管理员。 (2)查看服务器是否存在可疑账号或新增账号。 检查方法: 打开cmd窗口,输入lusrmgr.msc命令,查看是否有新增或可疑账号,如果管理员群组的(Administrators)里有新增账户,请立即删除。 (3)查看服务器是否存在隐藏账号。 检查方法: 运行CMD命令使用net use,看不到test$这个账号,但在控制面板和本地
网络安全应急响应----2、Windows入侵排查
七天
03-17 7008
文章目录一、系统排查1、系统信息2、​​用户信息3、启动项4、计划任务5、服务自启动二、进程、端口排查1、进程排查2、端口排查三、文件痕迹排查1、敏感目录文件2、基于时间点查找四、日志分析1、系统日志2、安全性日志3、应用程序日志五、内存分析六、流量分析 一、系统排查 1、系统信息 //可以显示本地计算机的硬件资源、组件、软件环境、正在运行的任务、服务、系统驱动程序、加载模块、启动程序等。 C:\Users\test>msinfo32 //Microsoft系统信息工具:Msinfo32.
应急响应篇:windows入侵排查
yj520400的博客
03-21 1854
的存在,在入侵系统后,攻击者可以在计算机上开启专属的端口来访问被害主机或植入病毒用于挖矿等,熟悉计算机的朋友应该都知道常用的端口也就那么几个,所以通过排查可疑端口能确定主机是否存在后门、是否被植入挖矿病毒等,再根据端口的PID对可疑进程对应的程序排查,确定是否为恶意程序。webshell和病毒都是windows系统的大敌,它们可以维持攻击者的系统权限、盗窃资料、感染其他主机、加密文件等,对操作系统造成非常大的危害。而与此同时操作系统也会出现异常,包括账户、端口、进程、网络、启动、服务、任务以及文件等,
应急响应 - 入侵排查
m0_73983897的博客
10-15 1603
本文的主要内容:webshell 应急处理 + 入侵检测排查 Windows + Linux; ①windows:账号安全 + 异常端口与进程 + 启动项 + 计划任务 + 异常服务 + 检查系统及补丁信息; ②Linux:账号安全 + 常端口和进程排查 + 开机启动项 + 定时任务 + 第三方软件漏洞 + 检查异常文件 + 检查系统日志 + 中间件日志文件
应急响应中的入侵排查和权限维持
weixin_52776876的博客
02-19 3783
入侵排除 一、检查系统账号安全 (一)排查服务器弱口令 尝试使用弱口令登录爆破或直接咨询管理员 (二)排查可疑账号、新增账号 1、打开cmd窗口,输入 lusrmgr.msc 2、查看是否存在可疑账号,特别是管理员群组(Administrators)中的新增账号,如果存在需要立即删除或禁用 (三)排查隐藏账号 打开注册表,查看管理员对应键值 1、在桌面打开运行(可使用快捷键 win+R),输入 regedit,打开注册表编辑器 2、选择 HKEY_LOCAL_MACHINE/SAM/SAM,默认无法查看
windows入侵排查1
qq_61752701的博客
10-18 2952
1.在基础排查时可以使用Microsoft系统信息工具,在命令行中输入msinfo32命令2.若只简单了解系统信息,可以在命令行中输入systeminfo(要用管理员运行,要不可能会出现闪退)
Windows 入侵类问题排查思路,零基础入门到精通,收藏这篇就够了
最新发布
Libra1313的博客
11-26 413
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。,我也为大家准备了视频教程,其中一共有。要学习一门新的技术,作为新手一定要。的事情了,而工作绕不开的就是。3.SRC&黑客文籍。
病毒清除工具
07-19
病毒清除工具
windows 入侵排查
Stestack的博客
05-22 446
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。常见的应急响应事件分类:Web 入侵:网页挂马、主页篡改、Webshell系统入侵:病毒木马、勒索软件、远控后门网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Windows 服务器入侵排查的思路。
常见工具识别集锦---Windows应急响应工具
永不垂头的博客
01-20 8068
常见工具识别集锦—Windows应急响应工具 文章目录常见工具识别集锦---Windows应急响应工具一、综合分析1.PowerTool2.PCHunter3.sysinspector4.sysinternals Suite二、文件查找&检测1.Everything2.findstr3.grepWin4.TextCrawer5.Index.dat Analyzer6.winhex7.RegistryWorkshop8.DiskGenius9.passrecenc三、日志分析1.eventtvwr2.
Liunx应急上机排查脚本
Delphinidae
06-27 918
应急排查 建议先清除计划任务、启动项、守护进程,再清除恶意进程。 应急排查收集常见信息脚本 #!/bin/bash #Liunx 应急响应上机信息收集 #应急清理:建议先清除计划任务、启动项、守护进程,再清除恶意进程。 # busybox 安装 #yum -y install wget make gcc perl glibc-static ncurses-devel libgcrypt-devel #wget http://busybox.net/downloads/busybox-1.33.0.tar.
应急响应学习
goddemon
02-05 2481
windows检测 ①检测账号 1.windows中直接分析 开 cmd 窗口,输入 lusrmgr.msc 命令进行查看有无可疑的账号 2.日志方法进行分析 “eventvwr.msc #事件查看器,且导出出Windows日志--安全 #利用Log Parser进行分析 典型命令 1、查询登录成功的事件 登录成功的所有事件 LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:Security.evtx where EventID=4624" 指定
Windows排查恶意程序及一些工具
提笔忘字的帝国
09-12 2016
按下Win + R键组合打开运行对话框,然后输入"msconfig"并按Enter键。在"服务"选项卡中,勾选"隐藏所有Microsoft服务",然后排查一个个排查剩下的服务。按下Ctrl + Shift + Esc键组合打开任务管理器,然后切换到"启动"选项卡。在这里,可以看到在Windows启动时自动运行的程序。禁用不认识或不需要的项目。按下Win + R键组合打开运行对话框,然后输入"regedit"并按Enter键。
《网络安全自学教程》- Windows应急响应排查思路
热门推荐
wangyuxiang946的博客
04-17 1万+
结合实战案例逐步讲解Windows应急响应排查思路及具体操作步骤
浏览器兼容:window.open方法特性的差异与测试
`window.open()` 方法是一个核心工具,用于在浏览器中打开新的窗口或标签页。然而,由于浏览器对象模型 (BOM) 的非标准化特性,`window.open()` 的行为在不同的浏览器中可能会有所差异。本文主要关注的是这个方法在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

鹿鸣天涯

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值