电子商务网站建设收益举例,网站建设公司案例,网站建设那好,建设网站平台需要什么硬件配置文章目录 Windows入侵排查秘籍#xff1a;锁死安全漏洞1 检查系统账号安全1.1 查看服务器是否有弱口令#xff0c;远程管理端口是否对公网开放1.2 查看服务器是否存在可疑账号、新增账号1.3 结合日志#xff0c;查看管理员登录时间、用户名是否存在异常 2 检查异常端口、进程… 文章目录 Windows入侵排查秘籍锁死安全漏洞1 检查系统账号安全1.1 查看服务器是否有弱口令远程管理端口是否对公网开放1.2 查看服务器是否存在可疑账号、新增账号1.3 结合日志查看管理员登录时间、用户名是否存在异常 2 检查异常端口、进程、启动项2.1 检查网络连接情况是否有远程连接、可疑连接2.2 检查异常进程2.3 检查启动项 Windows入侵排查秘籍锁死安全漏洞
1 检查系统账号安全
1.1 查看服务器是否有弱口令远程管理端口是否对公网开放
检查方法
据实际情况咨询相关服务器管理员。
1.2 查看服务器是否存在可疑账号、新增账号
检查方法
打开 cmd 窗口输入 lusrmgr.msc 命令查看是否有新增/可疑的账号如有管理员群组的Administrators里的新增账户请立即禁用或删除。
我们通过 net user /add 来添加账号如果末尾添加$,说明这是一个隐藏账号通过 net user 查看是无法发现隐藏账号的但是我们 lusrmgr.msc 打开本地用户则可以发现隐藏用户如果有异常用户则将其删除。 1.3 结合日志查看管理员登录时间、用户名是否存在异常
检查方法
a、WinR 打开运行输入eventvwr.msc回车运行打开事件查看器点击“安全”。 b、导出 Windows 日志 – 将所有事件另存为利用微软官方工具 Log Parser 进行分析。 工具下载地址https://www.microsoft.com/en-us/download/details.aspx?id24659
LogParser.exe -i:evt select top 100 * from D:\Security.evtx -o:DATAGRID参数使用 -i:输入源 中间部分sql语句 -o:输出格式
示例
LogParser.exe -i:evt select top 100 * from D:\Security_20240726.evtx -o:DATAGRID2 检查异常端口、进程、启动项
2.1 检查网络连接情况是否有远程连接、可疑连接
检查方法
使用 netstat -ano 命令查看目前的网络连接定位可疑的 ESTABLISHED
ESTABLISHED完成连接并正在进行数据通信的状态。 LISTENING表示处于侦听状态就是说该端口是开放的等待连接但还没有被连接。 CLOSE_WAIT对方主动关闭连接或者网络异常导致连接中断。 TIME_WAIT我方主动调用close()断开连接收到对方确认后状态变为TIME_WAIT。 根据 netstat 命令定位出的 PID 编号再通过 tasklist 命令进行进程定位 tasklist | findstr “PID” 可以进一步去任务管理器中确认不一定能找到 2.2 检查异常进程
检查方法
依据进程名称查看是否有可疑进程比如xxxxx.exe可能是木马。 tasklist /svc 开始 – 运行 – 输入 msinfo32 命令依次点击 “软件环境 – 正在运行任务” 就可以查看到进程的详细信息比如进程路径、进程ID、文件创建日期以及启动时间等。 通过微软官方提供的 Process Explorer 等工具进行排查工具下载地址https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer 查看可疑的进程及其子进程可以通过观察以下内容 没有签名验证信息的进程、没有描述信息的进程、进程的属主、进程的路径是否合法、CPU或内存资源占用长时间过高的进程比如挖矿
常用命令
a. 查看端口对应的 PIDnetstat -ano | findstr “port”
b. 查看进程对应的 PID任务管理器 – 查看 – 选择列 – PID 或者 tasklist | findstr “PID”
c. 查看进程对应的程序位置 任务管理器 – 选择对应进程 – 右键打开文件位置/运行输入wmiccmd 界面输入 process
d. tasklist /svc 进程 – PID – 服务
f. 查看Windows服务所对应的端口 %systemroot%/system32/drivers/etc/services一般 %systemroot% 就是 C:\Windows 路径
2.3 检查启动项
检查服务器是否有异常的启动项
检查方法 登录服务器单击【开始】【所有程序】【启动】默认情况下此目录在是一个空目录确认是否有非业务程序在该目录下。 单击开始菜单 【运行】输入 msconfig 查看是否存在命名异常的启动项目是则取消勾选命名异常的启动项目并到命令中显示的路径删除文件。 单击【开始】【运行】输入 regedit打开注册表查看开机启动项是否正常特别注意如下三个注册表项 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce 检查右侧是否有启动异常的项目如有请删除并建议安装杀毒软件进行病毒查杀清除残留病毒或木马。 利用安全软件查看启动项、开机时间管理等。 组策略运行 gpedit.msc **原文链接**https://mp.weixin.qq.com/s?__bizMzkxNzI1OTE3Mwmid2247492289idx1sn0ded47697cbe4cfe505f2c128ab093d8chksmc141f40bf6367d1d68588e13e9771f75fc73fed788ce744549ac3a9db4f19a7890fa486dc8d4#rd 点赞你的认可是我创作的动力 ⭐️ 收藏你的青睐是我努力的方向 ✏️ 评论你的意见是我进步的财富
