blubiu

My Love

上网不网恋,简直浪费电.


(四)Windows安全应急--应急排查的一些方法


且随疾风前行


前言:

非法BC植入网站安全应急,

在安全应急中,

总会需要大大小小的问题,

就像成长一样。


检测工具尽量使用轻量级的。。

本次演示环境 Windows Server 2008


目录:


问题排查步骤:

  1. 先判断服务器有没有被Rootkit

  2. 查看登录日志,任务计划,开机启动项

  3. 检测用户活动文件等

  4. 检查隐藏账户,注册表


NO.1 检查服务器有没有被Rootkit

这一步很重要,如果被Rootkit(相当于被提权了),那只能重装系统了。

这里推荐两款检测工具,

1. PCHunter

这款工具还是很强大的,

检测项也很多,方便判断各项有没有异常,

images


看的这基本可以判断服务器没有被Rootkit。


2. RootkitRevealer

这款工具也OK,问题就是版本有点老了,高版本服务器可能跑不起来,

images


这里也方便查看各项,


除了使用工具排查,最好再手动检测看看,

当然目前本菜还不会,/手动捂脸。


NO.2 检查登录日志,任务计划,开机启动项

1.检查有没有异常登录情况

控制面板 -> 查看事件日志 -> Windows日志 -> 安全

images


可以根据登录日志去排查入侵日期,

也可以判断攻击者是不是通过爆破口令入侵的。


2.任务计划

主要目的是检查攻击者有没有设置定时任务运行恶意程序,

很多攻击者为了躲避管理员,设置凌晨运行恶意程序,到早上再自动关闭。

管理工具 -> 任务计划程序

images


3.开机启动项

这个好像没什么好解释了,

很多安全软件能够更准确的判断出恶意启动项,

然后找出程序,干掉。

images


在任务管理器这里勾选PID,能够更快速的定位恶意进程。


NO.3 检查活动文件

1.用户桌面文件

只要攻击者创建用户,或者用administrator账号在服务器上活动,就会留下痕迹。

images


放一张之前应急的截图,

images


可以看到,heibai这个账号的遗留痕迹,

可以通过这些遗留文件获取攻击者的一些活动范围


2.下载文件

路径:
C:\Documents and Settings\cracker\桌面

用户的桌面,可能放有一些临时文件或下载的文件

images


这个文件夹一般是隐藏的,需要在文件夹选项设置显示,

通常情况下是拒绝访问的,可以参考一下这篇文章

https://jingyan.baidu.com/article/c910274bc7530acd361d2dca.html

3.用户的网络访问情况

路径:
C:\Documents and Settings\cracker\Cookies

用户的网络访问情况,cookie 文件中可能会记录一些敏感信息

跟上面一样,也是隐藏的。。


4.程序安装的临时文件

路径:
C:\Documents and Settings\cracker\Local Settings\Temp

一些程序安装、解压缩等操作可能会在该目录产生临时文件


5.最近浏览痕迹

路径:
C:\Documents and Settings\cracker\Recent

用户最近访问过哪些文件或文件夹


6.上网的历史记录

路径:
C:\Documents and Settings\cracker\Local Settings\History

用户上网的历史记录


7.临时文件

路径:
C:\Documents and Settings\cracker\Local Settings\Temporary Internet Files

上网时产生的临时文件,不但会存储网页页面内容,还可能以临时文件的方式存储 一些下载的文件


NO.4 检查隐藏账号,注册表

一些攻击者通常使用 $ 符号来创建隐藏账户,

这些账户输入 net user无法查看到,

我们可以通过 管理工具 -> 计算机管理 -> 用户

查看到这些隐藏用户。

images


关于注册表隐藏用户可以看看这里

https://www.cnblogs.com/wjvzbr/p/7906855.html

注册表也很重要,账户可以修改注册表来达到隐藏,

一些文件可以通过修改注册表达到再生,

前面说的一些安全工具都可以检查注册表,

这里推荐一个轻量级安全检查脚本,需要管理员权限运行

https://www.jb51.net/bat/498789.html

检查之后可以手工再去看看。


后话:

如果要找出攻击路径的话,web日志,系统日志是关键,

好了,今时差不多这样了,

本菜所了解的大概就这么多了,

后续还将持续更新。。