Windows服务器入侵排查
一、排查思路与排查流程
1.1、常见应急响应事件分类
- web入侵:网页挂马、主页篡改、Webshell
- 系统入侵:病毒木马、勒索软件、远控后门
- 网络攻击:DDOS攻击、DNS劫持、ARP欺骗
1.2、排查流程
二、账号安全
2.1、正常用户与黑客账号的区别
- 正常用户 net user 能直接看到
net user |
- 隐藏用户是以$结尾,net user 看不到,但是在控制面板、lusrmgr.msc、用户组中能看到
lusrmgr.msc |
- 影子用户只有注册表中能看到
2.2、windows自带账户
- Administratros(管理员):这是具有完全控制和访问权限的管理员账户。默认处于禁用状态
- DefaultAccount(默认账户):这是Windows 10中的一个预配 置账户,用于应用程序容器和系统组件的身份验证。它主要用于提供安全性和隔离性。
- Guest(访客):该账户提供了一个受限制的用户环境,允许临时用户使用计算机但不能进行敏感操作或更改系统设置。通常情况下,默认情况下此账户处于禁用状态。
- WDAGUtilityAccount:这是Windows Defender Application Guard (WDAG) 实用程序账户。WDAG 是一种安全功能,可在 Microsoft Edge 浏览器中隔离和保护来自不受信任来源的网站和文件。
打开lusrmgr.msc
查看是否有新增/可疑的账户,如果管理群组的(Administratros)心中的用户需要立即禁用或删掉
2.3、查看是否存可疑、新增账户
查看是否存在隐藏账户、影子账户
- 打开lusrmgr.msc,在用户中查看是否有$结尾的用户
- net localgroup administratros 查看administrators用户组是否有$结尾的用户
lusrmgr.msc |
- 打开注册表,查看管理员对应键值hkey_local_machine\sam\sam\domains\account\users
SAM如果无法打开,先给其授权
2.4、D盾对克隆账户检测
扩展
- 隐藏用户和影子用户是黑客在攻击服务器后常见的权限维持方法
2.4.1、如何创建隐藏用户
net user hacker01$ 1qaz@WSX /add && net localgroup administrators hacker01$ /add |
2.4.2、如何创建影子用户
net user hacker02$ 1qaz@WSX /add && net localgroup administrators hacker02$ /add |
进入注册表 hkey_local_machine\sam\sam\domains\account\users
找到 Administrator 对应的 十六进制 文件夹
把复制的值粘贴给hacker02
粘贴后 导出注册表(hacker02和对应的十六进制文件夹都要导出)
然后进入cmd(使用管理员权限)使用命令删除hacker02用户
net user hacker02$ /del |
双击之前导出的两个注册表 .reg 分别进行导入
三、异常端口与进程
3.1、检查端口连接情况
查看目前网络连接
netstat -ano |
本地连接
- 0.0.0.0:135 含义是开放了135这个端口,所有人都可以连接
127.0.0.1:80
- 开放80端口,但是只有自己可以连自己
外部地址
- 0.0.0.0说明这个端口谁也没连
- 20.197.71.89:433 说明可能在访问某个网站,网站的ip地址为20.197.71.89
查看你当前网络连接和进程所属文件
netstat -anob |
下面的程序就是进程对应的所属文件
3.2、进程排查和终止
3.2.1、进程终止
taskkill /f /pid PID |
3.2.2、进程排查
- 任务管理器
找到文件位置,查看文件进行具体排查
3.2.3、D盾排查
关注那些没有签名的进程
3.2.4、Process Explorer排查
缺点:纯英文
3.3.5、火绒剑
查看可疑进程及其子进程。
重点关注:
- 没有签名验证信息的程序
- 没有描述信息的进程
- 进程的属主
- 进程的路径是否合法
- CPU或内存资源占用长时间过高的进程
四、启动项
4.1、注册表
注册表(Registry,繁体中文版Windows操作系统称之为登录档案)是Microsoft Windows中的一个重要的数据库,用于存储系统和应用程序的设置信息。
regedit |
用户自启动项 (开机自启动,黑客很多时候会把病毒文件设置开机自启)
- HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
4.2、镜像劫持
打开微信,结果变成木马了
- HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options
- 注意点名字为Debugger,不要设置为其他的,否则不会生效
五、计划任务
5.1、检查
- 单击【控制面板】->【系统和安全】->【管理工具】->【任务计划】,查看计划任务属性,可以发现木马文件的路径
- win + R : taskschd.msc
taskschd.msc |
5.2、创建定时任务
管理员运行cmd
schtasks /create /tn "ShellTask" /tr "C:\windows\temp\360.exe" /sc daily /st 02:00 /f |
在每天凌晨2点执行任务,打开360.exe
六、异常服务
services.msc |
注意,服务状态和启动类型,检查是否有异常服务
sc query type=service |
含义:检索系统中正在运行的服务信息
扩展:
- 如何创建一个后门程序
- sc create bugscan binPath= “C:\windows\temp\360.exe” DisplayName= “bugscan”
- 创建服务 bugscan ,该服务运行 C:\windows\temp\360.exe
删除服务
sc delete bugscan |
七、检查系统相关信息
7.1、查看系统版本以及补丁信息
systeminfo |
查看系统信息
7.2、查看可疑目录及文件
检查方法
单击【开始】>【运行】,输入%UserProfile%\Recent,分析最近打开的可疑文件
%UserProfile%\Recent
在服务器各个目录,可根据文件夹内文件列表时间进行排序,查找可疑文件
检查 C:\Windows\Temp 目录
杀毒软件全盘扫描