一、文件排查1)开机启动有无异常文件
【文件】→【运行】→【msconfig】
文章插图
2)各个盘下的temp(tmp)相关目录下查看有无异常文件:windows产生的临时文件:
文章插图
3)Recnt是系统文件夹 , 里面存放着你最近使用的文档的快捷方式 , 查看用户recent相关文件 , 通过分析最近打开分析可疑文件:
【开始】→【运行】→【%UserProfile%、Recent】
4)根据文件夹内文件列表时间进行排序 , 查找可疑文件 。当然也可以搜索指定日期范围的文件及文件:
Windows Server 2008 R2
文章插图
Windows 10
文章插图
5)查看文件时间 , 创建时间、修改时间、访问时间 , 黑客通过菜刀类工具改变的是修改时间 。所以如果修改时间在创建时间之前明显是可疑文件
文章插图
二、端口、进程排查【Windows服务器入侵检测排查方法】1)netstat -ano //查看目前的网络连接 , 定位可疑的ESTABLISHED
netstat //显示网络连接、路由表和网络接口信息;
参数说明:
文章插图
常见的状态说明:
LISTENING //倾听状态
ESTABLISHED //建立连接
CLOSE_WAIT //对方主动关闭连接或网络异常异常连接中断
2)根据netstat定位出的pid , 再通过tasklist命令进行进程定位
tasklist //显示运行在本地或远程计算机上的所有进程;
文章插图
3)根据wmic process获取进程的全路径(注:任务管理器也可以定位到进程路径)
文章插图
文章插图
小技巧:
①查看端口对应的PID: netstat -ano | findstr "port"
②查看进程对应的PID:任务管理器--查看--选择列--PID 或者 tasklist | findstr "PID"
③查看进程对应的程序位置:
任务管理器--选择对应进程--右键打开文件位置
运行输入 wmic , cmd界面 输入 process d、tasklist /svc 进程--PID--服务
④查看Windows服务所对应的端口:
%system%/system32/drivers/etc/services(一般%system%就是C:Windows)
三、系统信息排查1)查看环境变量的设置
【我的电脑】→【属性】→【高级系统设置】→【高级】→【环境变量】
文章插图
排查内容:temp变量的所在位置的内容;后缀映射PATHEXT是否包含有非windows的后缀;有没有增加其他的路径到PATH变量中(对用户变量和系统变量都要进行排查) 。
2)Windows计划任务
【程序】→【附件】→【系统工具】→【任务计划程序】
文章插图
3)Windows账户信息 , 如隐藏账号、克隆账号等
【开始】→【运行】→【compmgmt.msc】→【本地用户和组】→【用户】(用户以$结尾的为隐藏用户 , 如:admin$)
a)打开注册表 , 查看管理员对应键值 。
b)使用D盾_web查杀工具 , 集成了对克隆账号检测的功能 。
文章插图
文章插图
命令行方式:net user , 可直接收集用户信息(此方法看不到隐藏用户) , 若需查看某个用户的详细信息 , 可使用命令net user username:
文章插图
4)查看服务器是否存在可疑账号、新增账号
打开 cmd 窗口 , 输入lusrmgr.msc命令 , 查看是否有新增/可疑的账号 , 如有管理员群组的(Administrators)里的新增账户 , 如有 , 请立即禁用或删除掉 。
推荐阅读
- 《魔兽世界》经典怀旧服哪个服务器人多?
- Windows10还需要分区吗?看完你就有答案了
- 使用这个 Python 工具分析你的 Web 服务器日志文件
- 关闭Windows这些没用的设置,电脑性能至少提升50%
- 如何在Windows 10中恢复已删除的文件
- Windows危机重重,谷歌全新操作系统Fuchsia发布在即
- Linux服务器运维必备技能 软件包和启动项超详细整理
- 骚操作实战撸进内网服务器
- 使用Swoole协程实现 WebRTC 信令服务器
- windows10飞车改帧数,飞车win10帧数改多少合适?