Windows 入侵类问题排查思路，零基础入门到精通，收藏这篇就够了

一. 检查帐户和弱口令

查看服务器已有系统或应用帐户是否存在弱口令。

    检查说明：主要检查系统管理员帐户、网站后台帐户、数据库帐户以及其他应用程序（FTP、Tomcat、phpMyAdmin 等）帐户是否存在弱口令。

    检查方法：根据实际情况自行确认。

    风险性：高。

查看下服务器内是否有非系统和用户本身创建的账户。

    检查说明：一般黑客创建的异常账户账户名会在本地用户组显示出来。

    检查方法：打开 cmd 窗口，输入lusrmgr.msc命令，查看是否有新增的账号，如有管理员群组的（Administrators）里的新增账户，如有，请立即禁用或删除掉。

    风险性：高。

检查是否存在隐藏账户名。

    检查说明：黑客为了逃避检查，往往会在您服务器内创建隐藏用户，隐藏账户在本地用户内是查看不到的。

    检查方法（您也可以通过下载 LP\_Check 安全工具检查是否有隐藏账户）：

        在桌面打开运行（可使用快捷键 Win + R），输入 regedit，即可打开注册表编辑器。

        选择 HKEY\_LOCAL\_MACHINE/SAM/SAM，默认无法查看该选项内容，右键菜单选择权限，打开权限管理窗口。

        选择当前用户（一般为 administrator），将权限勾选为完全控制，然后确定，关闭注册表编辑器。

        再次打开注册表编辑器，即可选择 HKEY\_LOCAL\_MACHINE/SAM/SAM/Domains/Account/Users。

        在 Names 项下可以看到实例所有用户名，如出现本地账户中没有的账户，即为隐藏账户，在确认为非系统用户的前提下，可删除此用户。

    风险性：高。

二. 检查恶意进程和端口

检查是否存在恶意进程在系统后台运行。

    检查说明：攻击者在入侵系统后，往往会运行恶意进程与外部进行通信，通过分析外联的进程，即可以找出入侵的控制进程。

    检查方法：

        登录服务器，选择【开始】>【运行】。

        输入 cmd，然后输入 netstat –nao 查看下服务器是否有未被授权的端口被监听。

        打开任务管理器，检查对应的 PID 进程号所对应的进程是否为正常进程，例如通过 PID 号查看下运行文件的路径，删除对应路径文件，您也可以通过微软官方提供的 Process Explorer 工具进行排查。

    风险性：高。

三. 检查恶意程序及启动项

检查服务器内部是否有异常的启动项。

    检查说明：攻击者在入侵系统后，往往会把恶意程序放到启动项中开机执行。

    检查方法：

        登录服务器，选择【开始】>【所有程序】>【启动】。

        默认情况下此目录在是一个空目录，确认是否有非业务程序在该目录下。

        选择【开始】 >【运行】，输入 msconfig，查看是否存在命名异常的启动项目，若存在则取消勾选命名异常的启动项目，并到命令中显示的路径删除文件。

        选择【开始】>【运行】，输入 regedit，打开注册表，查看开机启动项是否正常，特别注意如下三个注册表项：

        HKEY\_CURRENT\_USER\\software\\micorsoft\\windows\\currentversion\\run

        HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

        HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Runonce

        检查右侧是否有启动异常的项目，如有请删除，并建议安装杀毒软件进行病毒查杀，清除残留病毒或木马。

    风险性：高。

查看正在连接的会话。

    检查说明：检查计算机与网络上的其它计算机之间的会话或计划任务。

    检查方法：

        登录服务器，选择【开始】>【运行】。

        输入 cmd，然后输入 netstat -ano，检查计算机与网络上的其它计算机之间的会话，并确认是否为正常连接。输入 schtasks，检查计算机中的计划任务，并确认是否为正常的计划任务。

    风险性：中。

四. 检查第三方软件漏洞

如果您服务器内有运行对外应用软件（WWW、FTP 等），请您对软件进行配置，限制应用程序的权限，禁止目录浏览或文件写权限。

如何恢复网站或系统

系统确认被入侵后，往往系统文件会被更改和替换，此时系统已经变得不可信，最好的方法就是重新安装系统，同时给新系统安装所有补丁。

改变所有系统账号的密码为 复杂密码（至少与入侵前不一致）。

修改默认远程桌面端口，操作如下：

    选择【开始】>【运行】，然后输入 regedit。

    打开注册表，进入如下路径： HKEY\_LOCAL\_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\Wds\\rdpwd\\Tds\\tcp

    KEY\_LOCAL\_MACHINE\\SYSTEM\\CurrentContro1Set\\Control\\Tenninal Server\\WinStations\\RDP-Tcp

    修改下右侧的 PortNamber 值。

配置防火墙只允许 指定 IP 才能访问远程桌面端口。

定期备份重要业务数据和文件。

定期更新操作系统及应用程序组件版本（如 FTP、Struts2 等），防止被漏洞利用。

安装防病毒软件进行定期体检和扫描。

黑客/网络安全学习包

资料目录

1. 成长路线图&学习规划

2. 配套视频教程

3. SRC&黑客文籍

4. 护网行动资料

5. 黑客必读书单

6. 面试题合集

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

1.成长路线图&学习规划

要学习一门新的技术，作为新手一定要先学习成长路线图，方向不对，努力白费。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

2.视频教程

很多朋友都不喜欢晦涩的文字，我也为大家准备了视频教程，其中一共有21个章节，每个章节都是当前板块的精华浓缩。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

3.SRC&黑客文籍

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍：

黑客资料由于是敏感资源，这里不能直接展示哦！

4.护网行动资料

其中关于HW护网行动，也准备了对应的资料，这些内容可相当于比赛的金手指！

5.黑客必读书单

**

**

6.面试题合集

当你自学到这里，你就要开始思考找工作的事情了，而工作绕不开的就是真题和面试题。

更多内容为防止和谐，可以扫描获取~

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享