windows入侵排查
一、账号安全排查
检查弱口令与远程端口开放:确认远程管理端口是否暴露公网,是否存在弱密码。
发现新增或可疑账号:查看管理员组是否有陌生账号,注意隐藏或克隆账户行为。
登录日志分析:使用事件查看器分析管理员登录时间、IP、是否有异常操作。
二、端口与进程排查 监控端口连接情况:使用 netstat -ano 查看网络连接,关注异常的外联。
定位可疑进程:结合 tasklist、msinfo32、任务管理器或 D盾 等工具查看无签名、非法路径、资源异常的进程。
识别子进程行为:尤其注意那些父子链存在异常关系或反常命名的进程。
三、启动项、任务计划与服务排查 启动项排查:使用 msconfig 和注册表查看是否存在异常开机自启项目。
计划任务检查:检查是否存在可疑计划任务或自动化恶意脚本执行。
服务自启排查:查看服务列表,识别非系统默认服务,尤其是“自动”启动类型中来源不明的服务。
四、系统信息与文件排查 查看系统信息与补丁状态:通过 systeminfo 查看操作系统版本与补丁更新情况。
排查异常文件与目录:
用户目录中新增目录可能意味着被创建的隐藏账户。
%UserProfile%\Recent 可查看最近访问文件,辅助识别是否打开过恶意文件。
按文件修改时间排序寻找非业务相关或时间反常(如修改时间早于创建时间)的文件。
五、WebShell 与病毒自动查杀 病毒查杀:使用已更新病毒库的杀毒软件进行全盘扫描。
WebShell查杀:建议结合使用多款 WebShell 查杀工具(如 D盾 + WebShellDetector)互补分析。
六、日志分析与追踪 系统日志分析:
首先确保系统开启了审计策略。
使用 eventvwr.msc 查看系统、安全、应用日志,借助 Log Parser 工具分析。
Linux 入侵排查要点总结
一、账号安全
查看特权账号(uid=0)
检查可远程登录账号
检查非 root 用户是否具备 sudo 权限
禁用或删除可疑账号
二、 历史命令记录
查看命令历史(包括时间与来源 IP)配置建议
导出命令历史
三、检查异常端口/进程
查看监听端口与进程
查看指定进程详情
四、 检查开机启动项
检查 rc 启动目录
五、 检查定时任务
检查计划任务位置:
扫一扫
1577
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
