0x00 前言

? 當企業(yè)發(fā)生黑客入侵、系統(tǒng)崩潰或其它影響業(yè)務(wù)正常運行的安全事件時，急需第一時間進行處理，使企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)在最短時間內(nèi)恢復(fù)正常工作，進一步查找入侵來源，還原入侵事故過程，同時給出解決方案與防范措施，為企業(yè)挽回或減少經(jīng)濟損失。

常見的應(yīng)急響應(yīng)事件分類：

web入侵：網(wǎng)頁掛馬、主頁篡改、Webshell

系統(tǒng)入侵：病毒木馬、勒索軟件、遠控后門

網(wǎng)絡(luò)攻擊：DDOS攻擊、DNS劫持、ARP欺騙

針對常見的攻擊事件，結(jié)合工作中應(yīng)急響應(yīng)事件分析和解決的方法，總結(jié)了一些Window服務(wù)器入侵排查的思路。

0x01 入侵排查思路

• 一、檢查系統(tǒng)賬號安全

  • 1、查看服務(wù)器是否有弱口令，遠程管理端口是否對公網(wǎng)開放。

    • 檢查方法：據(jù)實際情況咨詢相關(guān)服務(wù)器管理員。

  • 2、查看服務(wù)器是否存在可疑賬號、新增賬號。

    • 檢查方法：打開 cmd 窗口，輸入lusrmgr.msc命令，查看是否有新增/可疑的賬號，如有管理員群組的（Administrators）里的新增賬戶，如有，請立即禁用或刪除掉。

  • 3、查看服務(wù)器是否存在隱藏賬號、克隆賬號。

    • 檢查方法：

      a、打開注冊表 ，查看管理員對應(yīng)鍵值。

      b、使用D盾_web查殺工具，集成了對克隆賬號檢測的功能。

總結(jié)

以上是生活随笔為你收集整理的windows应急响应入侵排查思路的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。