windows应急响应入侵排查思路

已于 2023-04-29 18:29:48 修改
阅读量1.8k 收藏 9
点赞数
CC 4.0 BY-SA版权
分类专栏: 【应急响应实战笔记】 文章标签: windows 服务器 网络
于 2018-10-28 13:44:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_23936389/article/details/83511327

0x00 前言

 

​ 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。

常见的应急响应事件分类:

web入侵:网页挂马、主页篡改、Webshell

系统入侵:病毒木马、勒索软件、远控后门

网络攻击:DDOS攻击、DNS劫持、ARP欺骗

针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入侵排查的思路。

0x01 入侵排查思路

  • 一、检查系统账号安全

    • 1、查看服务器是否有弱口令,远程管理端口是否对公网开放。

      • 检查方法:据实际情况咨询相关服务器管理员。

    • 2、查看服务器是否存在可疑账号、新增账号。

      • 检查方法:打开 cmd 窗口,输入lusrmgr.msc命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。

    • 3、查看服务器是否存在隐藏账号、克隆账号。

      • 检查方法:

        a、打开注册表 ,查看管理员对应键值。

        b、使用D盾_w

了解本专栏 订阅专栏 解锁全文 超级会员免费看
windows系统应急响应
Cwillchris的博客
09-29 2885
2、推荐工具:Window 下,推荐用 EmEditor 进行日志分析,支持大文本,搜索效率还不错。运行 Win+R,输入lusrmgr.msc 回车,通过本地用户和组的管理页面(或者“计算机管理”)的可以查看到隐藏账户。最后应急处置,当然是杀死进程并删除后门文件,执行命令taskkill /F /pid 1472。删除可疑用户,可以直接删除或用cmd命令net user hacker$ /del 删除。安装好LogParser后,cmd切换到LogParser安装目录,执行以下命令。
Windows应急响应
m0_67401055的博客
05-15 3231
转载至奇安信攻防社区-Windows应急响应Windows应急响应篇 本篇主要以windows应急响应的基础技术手段进行介绍。 一、概述: 近年来,随着互联网的发展网络安全攻击事件也是大幅度增多,如何在第一时间发现攻击事件,并实施应急处置,能够有效的将损失降到最低。在实施应急响应的过程中,需要从多方面进行联动工作,具体的流程和依据可以参考《GB∕T 38645-2020 信息安全技术 网络安全事件应急演练指南》,本篇主要以windows应急响应的基础技术手段进行介绍。 二、技术分析 1、准备工作 在
Windows应急响应
weixin_59872639的博客
03-23 4962
账户排查 账户排查主要包含以下几个维度 登录服务器的途径 弱口令 可疑账号 新增账号 隐藏账号 克隆账号 服务器是否存在被远程登录的途径 3389 smb,445 http ftp 数据库 中间件 弱口令排查维度与上述服务器登录一样 弱口令排查方式 查看是否启用组策略,限制弱口令 用户访谈,直接询问管理员是最好的方法 查看是否有暴力破解日志,并登录成功 最后上述都无效的情况,可以尝试读取明文密码 隐藏账号 使用net user看不到账号 使用本地用户管理也看不
应急响应--windows入侵检查思路及流程,(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
06-01 923
服务器入侵,业务出现蠕虫事件,用户以及公司员工被钓鱼攻击,业务被 DDoS 攻击,核心业务出现DNS、链路劫持攻击等等。
Windows应急响应(超详细)
csjjjd的博客
07-15 3465
要进行应急响应,通俗来讲,首先你得知道攻击你的是啥。常见的攻击归类如下:1.系统入侵:病毒木马、勒索软件、远控后门2.web入侵:网页挂马、主页篡改、Webshell 3.网络攻击:DDOS攻击、DNS劫持、ARP欺骗这个在应急响应整个流程里面还是相对容易的,比如你的网站出事了,被人挂了马或图片,很明显就是web入侵。如果你被勒索或者被挖矿,或者病毒入侵,都可以视为系统入侵,因为已经打到了你的系统层面,可以调用你的一些系统权限,很明显就是一个系统入侵网络攻击查看一手流量分析,实时监控网络就可以看出,不必多
windows应急响应
Kyl2n的博客
01-09 798
前言: 排查思路: 一、可疑账户 普通账户查询 克隆账户:复制管理员账户F项值,拥有管理员相同权限及界面的伪装用户 二、可疑连接 三、自启动项 四、计划任务 五、资源使用情况 ...
1.Windows入侵排查思路
weixin_30251829的博客
08-15 735
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DD...
应急响应-Windows
m0_52920608的博客
08-03 279
应急响应 Windows
Windows安全应急响应
Libra1313的博客
05-02 833
随着网络安全的快速发展,不少的互联网公司都积极的参与到了这个领域,随着《网络安全法》颁布与实施、等保2.0的颁布等为网路安全发展提供了有力的后盾。一个事物的快速发展,也会引起其它不利的事物萌芽。不错,就是网络入侵事件的出现,说白了就是黑产。比如Facebook泄露的8700万用户数据、前程无忧招聘网站求职信息的泄露、华住下多个连锁酒店5亿信息泄露、万豪喜达屋用户信息泄露等。由此可见,数据经济时代,数据越来越走向利益化的边缘。
应急响应
Amdy_amdy的博客
11-27 4340
最近对应急响应特别感兴趣,特意去搜索了一下,发现网上最多的是对应急响应的6个步骤进行的说明,真正涉及到网络安全的应急响应文章只看到两篇文章,一个是在先知上,一个是在t00ls上。特此整理。其中主要参考链接是:https://xz.aliyun.com/t/1140/#toc-6。 常规的应急响应应该主要包括两个方面: 1.未雨绸缪,即在事件发生前事先做好准备,比如风险评估、制定安全计划、安全意...
Windows应急响应工具
weixin_30821731的博客
08-13 770
Windows安全应急--多种安全工具的介绍 转自微信公众号---HACK学习呀 https://mp.weixin.qq.com/s/g1MkXeHXyHdqPbTJH7k6RQ 转载于:https://www.cnblogs.com/weipinggong/p/11346571.html...
Windows应急响应操作手册
weixin_30906701的博客
07-10 861
查看表征异常 系统卡慢、宕机、CPU和内存占用高、网络拥塞或断网、磁盘空余空间无理由大幅度缩小等,根据以上表征,可以初步猜测系统面临的问题。 windows 下查看系统基本信息 PS C:\Users\bobac\Desktop> systeminfo ...
Windows应急响应排查与实战策略
"Windows应急响应与实战技术" 在面临网络安全威胁时,Windows系统的应急响应和实战技巧至关重要。这包括迅速恢复系统功能,追踪攻击源头,以及实施预防措施来保护企业免受损失。以下是对Windows应急流程及实战演练...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bypass--

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值