windows入侵应急响应检查思路及流程

什么时候做应急响应

服务器被入侵，业务出现蠕虫事件，用户以及公司员工被钓鱼攻击，业务被 DDoS 攻击，核心业务出现DNS、链路劫持攻击等等

如何做应急响应

1确定攻击时间
2查找攻击线索
3梳理攻击流程
4实施解决方案
5定位攻击者
6常见应急响应事件分类

web入侵：网页挂马、主页篡改、Webshell
系统入侵：病毒木马、勒索软件、远控后门、系统异常、RDP爆破、SSH爆破、主机漏洞、数据库入侵等
网络攻击：DDOS攻击、DNS劫持、ARP欺骗
路由器/交换机异常：内网病毒，配置错误等
入侵排查思路
1、检查系统账号安全
查看服务器是否存在可疑账号、新增账号
1、打开 cmd 窗口，输入 lusrmgr.msc 命令，查看是否有新增/可疑的账号，如有管理员群组的（Administrators）里的新增账户

查看服务器是否存在隐藏账号、克隆账号

1：打开注册表 ，查看管理员对应键值

1、打开cmd窗口，输入regedit，查看注册表编辑器
2、选择 HKEY_LOCAL_MACHINE/SAM/SAM，默认无法查看该选项内容，右键菜单选择权限，打开权限管理窗口；
3）选择当前用户（一般为 administrator），将权限勾选为完全控制，然后确定。关闭注册表编辑器；
4）再次打开注册表编辑器，即可选择HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users；
5）在 Names 项下可以看到实例所有用户名，

注意：如出现本地账户中没有的账户，即为隐藏账户，在确认为非系统用户的前提下，可删除此用户。

2：使用D盾_web查杀工具，集成了对克隆账号检测的功能

查看服务器是否有弱口令，远程管理端口是否对公网开放

方法：咨询服务器相关管理员
结合日志，查看管理员登录时间、用户名是否存在异常。<