应急响应基础(一)——Windows入侵排查

最新推荐文章于 2024-11-13 18:23:12 发布
最新推荐文章于 2024-11-13 18:23:12 发布
阅读量2k 收藏 23
点赞数 3
分类专栏: 应急响应基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_38684504/article/details/97751283
版权
本文介绍了Windows系统应急响应中的入侵排查思路,包括检查系统账号安全、异常端口和进程、启动项、计划任务、服务,以及日志分析。通过检查弱口令、新增账号、隐藏账户,分析日志和网络连接,定位潜在的安全风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

常见的应急响应事件分类:

web入侵:网页挂马、主页篡改、webshell;

系统入侵:病毒木马、勒索软件、远控后门;

网络攻击:DDOS攻击、DNS劫持、ARP欺骗;

一、Windows入侵排查思路

(1)检查系统账号安全

1、检查服务器是否有弱口令,远程管理端口是否对公网开放等;

  • 检查方法:根据实际情况咨询相关服务器管理员;

2、查看服务器是否存在可疑账号、新增账号;

  • 检查方法:打开 cmd 窗口,输入lusrmgr.msc命令,查看是否有新增/可疑的账号;

3、查看服务器是否存在隐藏账号、克隆账号;

  • 检查方法:
  • a、
    1)在桌面打开运行(可使用快捷键 win+R),输入 regedit,即可打开注册表编辑器;
    2)选择 HKEY_LOCAL_MACHINE/SAM/SAM,默认无法查看该选项内容,右键菜单选择权限,打开权限管理窗口;
    3)选择当前用户(一般为 administrator),将权限勾选为完全控制,然后确定。关闭注册表编辑器;
    4)再次打开注册表编辑器,即可选择 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users;
    5)在 Names 项下可以看到实例所有用户名,如出现本地账户中没有的账户,即为隐藏账户,在确认为非系统用户的前提下,可删除此用户。

最低0.47元/天 解锁文章
应急响应笔记
m0_62207482的博客
01-12 404
查找/etc/passwd 文件, /etc/passwd 这个文件是保存着这个 linux 系统所有 用户的信息, 通过查看这个文件, 我们就可以尝试查找有没有攻击者所创建的用 户,或者存在异常的用户。首先在/etc/passwd 中查找命令 解释程序不是 nologin 的用户, 然后再到这些用户的用户主目录里, 找到。排查内容: temp 变量的所在位置的内容;1)敏感目录的文件分析[类/tmp 目录,命令目录/usr/bin /usr/sbin 等]
网络安全——应急响应Windows入侵排查
CoffeMilk的博客
11-08 997
网络安全所说的应急响应(Emergency Response)通常是指在突发事件发生后,为了减少损失和危害,迅速采取的系列应对措施,保护生命财产安全,恢复正常秩序的过程。这里说的突发事件特指:影响系统(包含服务器主机和操作系统、网络范围)正常工作的情况(如:黑客入侵服务器、黑客劫持服务器、病毒爆发、系统异常宕机、应用服务瘫痪、信息窃取、DDOS攻击、网络流量异常等内容)
Linux 应急响应入门——入侵排查.doc
01-20
Linux 应急响应入门——入侵排查 Linux 应急响应入门——入侵排查是指在 Linux 系统中检测和响应入侵活动的技术和方法。本文档将详细介绍 Linux 应急响应入门——入侵排查的基本概念、核心技术和应用场景。 、...
应急响应——Windows入侵排查
negnegil的博客
09-03 2485
Windows安全应急处置 从以下方面进行排查windows主机 1.是否有异常进程、用户 2.异常的服务、计划任务、启动项 3.注册表信息 4.端口开放情况 5.文件文件共享 6.防火墙设置 7.异常会话 8.日志 9.其他 10.工具 进程 获取系统上正在运行的所有进程列表, 可以根据以下内容查找可疑进程 CUP、内存占用率长时间过高的进程 没有签名或描述信息的进程 非法路径的进程 进程的属主 也可以使用某些软件,如D盾_web查杀工具,微软的Process Explorer工具等进行排查 #
网络安全——应急响应之Linux入侵排查
CoffeMilk的博客
11-13 1138
本文主要介绍关于Linux系统被入侵后的应急响应工作流程和排查内容
应急响应实战笔记.pdf
06-24
应急响应实战笔记.pdf
应急响应实战笔记2020.pdf
06-23
面对各种各样的安全事件,我们该怎么处理? 这是个关于安全事件应急响应的项目,从系统入侵到事件处理,收集和整理了些案例进行分析。我将持续更新这份笔记,希望能帮到有需要的人。
应急响应实战笔记_2020最新版.pdf
06-24
整体目录结构共六章,分为技巧篇和实战篇。第1~3章为技巧篇,分别对应入侵排查、日志分析和权限维持,第4~6章为实战篇,包含了Windows/Linux各种病毒木马,web入侵事件溯源处理过程。
应急响应笔记1
weixin_51339377的博客
03-18 285
应急响应 web入侵: 挂马,网页篡改(博彩,黑帽seo),植入webshell,黑页,暗链等 主机入侵: 病毒木马,勒索病毒,远控后门,系统异常,RDP爆破,SSH爆破,主机漏洞,数据库入侵等 网络攻击: DDOS/CC攻击,ARP攻击,DNS/HTTP劫持 路由器/交换机攻击: 内网病毒,配置错误,机器本身的漏洞等 windows应急响应: 病毒,木马,蠕虫事件 web服务器或者第三方服务入侵事件 系统入侵事件 网络攻击 日志查看(删除日志本身也是个事件 没办法彻底
Linux应急响应笔记
【优快云官方推荐】
01-22 369
前言 本文的文字及图片来源于网络,仅供学习、交流使用,不具有任何商业用途,如有问题请及时联系我们以作处理。 PS:如有需要Python学习资料的小伙伴可以加点击下方链接自行获取 python免费学习资料以及群交流解答点击即可加入 背景 前段时间我处理了应急响应,我还输出了篇文章 Linux应急响应笔记。这两天又处理了次病毒入侵,在前次的基础上,这次应急做了些自动化脚本,应急响应效率有了定程度的提升,故另做份笔记。PS:本文重在分享应急响应经验,文中保留了恶意网址,但是删除了恶意脚
应急响应学习笔记
yida223的博客
07-31 695
linux常见日志文件位置 /var/log/boot.log(自检过程) /var/log/cron (crontab守护进程crond所派生的子进程的动作) /var/log/maillog (发送到系统或从系统发出的电子邮件的活动) /var/log/syslog (它只记录警告信息,常常是系统出问题的信息,所以更应该关注该文件) 要让系统生成syslog日志文件, 在/etc/syslo...
应急响应基础笔记
zhalang8324的博客
04-26 1319
应急响应笔记基础知识Linux操作系统基础些常见的命令必须熟悉:ls怎么按照时间排序列出当前目录文件?        ls实现列文件按时间排序        1) ls -lt  时间最近的在前面        2) ls -ltr 时间从前到后stat命令是干嘛的?        显示文件详细信息,访问时间、内容修改时间、状态修改时间lsof的作用是什么?lsof每列分别代表什么?     ...
应急响应实战笔记
05-20 810
应急响应实战笔记 GitHub 地址:https://github.com/Bypass007/Emergency-Response-Notes GitBook 地址:https://bypass007.github.io/Emergency-Response-Notes/ 项目介绍 面对各种各样的安全事件,我们该怎么处理? 这是个关...
应急响应的具体流程图
最新发布
02-27
### 应急响应详细流程 #### 、准备阶段 在这阶段,组织需建立并维护必要的资源来应对潜在的安全事件。这包括但不限于制定详细的应急预案文档,培训相关人员以及定期进行演练。此外,还需设立专门团队负责协调应急响应活动,并确保有足够的技术支持工具可用。 #### 二、检测与分析 旦怀疑发生了安全事件,则立即启动初步调查以确认是否存在真正的威胁。此过程中会利用多种手段获取证据,比如收集受影响系统上的日志数据和其他相关信息[^1]。对于Windows操作系统而言,在某些情况下可能还需要关注`winlogon.exe`的行为模式及其与其他核心组件之间的交互情况,因为这些都可能是攻击者试图操控的目标之[^2]。 #### 三、遏制措施实施 如果确实发现了恶意行为,则需要迅速采取行动阻止其进步扩散。具体的遏制方法取决于所面临的具体场景;例如网络入侵可以通过断开受感染设备连接等方式实现隔离效果。而对于物理层面的安全事故(如盗窃),则应该遵循相应的内部规定或法律法规来进行妥善处理[^4]。 #### 四、根除根源问题 成功遏制住当前危机之后,下步就是彻底清除任何残留的风险因素。这意味着不仅要修复已经被破坏的部分——无论是软件漏洞还是硬件损坏——还要深入排查整个环境中可能存在但尚未被触发的隐患点。同时也要加强对已知弱点区域的重点监控力度以防再次遭受同类侵害。 #### 五、恢复业务运作 经过上述几个环节的努力后,最终目标是要让所有受到影响的服务恢复正常运转状态。在此期间应当密切监视各项指标变化趋势,确保切都在可控范围内平稳过渡。另外值得注意的是,在这个关键时刻同样不可放松警惕,要持续跟踪观察段时间直至完全排除复发可能性为止。 #### 六、总结经验教训 最后也是非常重要的环是对整个事件进行全面回顾评估。通过整理归纳从中获得的经验教训,可以为今后改进现有机制提供宝贵参考资料。特别是针对那些暴露出明显不足之处的地方更要加以重视,力求做到未雨绸缪提前预防类似问题的发生。 ```mermaid graph TD; A[准备工作] --> B{发现异常}; B -- 是 --> C[检测与分析]; C --> D[遏制措施]; D --> E[根除原因]; E --> F[恢复服务]; F --> G[总结报告]; B -- 否 --> H[继续监测]; ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值