1.深入分析,查找入侵原因

1.1 检查帐户和弱口令

1、查看服务器已有系统或应用帐户是否存在弱口令

  • 检查说明:主要检查系统管理员帐户、网站后台帐户、数据库帐户以及其他应用程序(FTP、Tomcao、phpMyAdmin 等)帐户是否存在弱口令
  • 检查方法:根据实际情况自行确认。
  • 风险性:高
  • 2、查看下服务器内是否有非系统和用户本身创建的帐户

  • 检查说明:一般黑客创建的异常账户帐户名会在本地用户组显示出来
  • 检查方法:打开 cmd 窗口,输入 lusrmgr.msc 命令,查看是否有新增的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。
  • 风险性:高

3、检查是否存在隐藏帐户名

  • 检查说明:黑客为了逃避检查,往往会在您服务器内创建隐藏用户,隐藏账户在本地用户内是查看不到的
  • 检查方法:
    1)、在桌面打开运行(可使用快捷键 win+R),输入 regedit,即可打开注册表编辑器:
    2)、选择 HKEY_LOCAL_MACHINE/SAM/SAM,默认无法查看该选项内容,右键菜单选择权限,打开权限管理窗口;
    3)、选择当前用户(一般为 administrator),将权限勾选为完全控制,然后确定。关闭注册表编辑器;
    4)、再次打开注册表编辑器,即可选择 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users;
    5)、在 Names 项下可以看到实例所有用户名,如出现本地账户中没有的账户,即为隐藏账户,在确认为非系统用户的前提下,可删除此用户或者您也可以通过下载 LD_check 安全工具检查是否有隐藏账户。
  • 风险性:高

1.2 检查恶意进程和端口

1、检查是否存在恶意进程在系统后台运行

  • 检查说明:攻击者在入侵系统后,往往会运行恶意进程与外部进行通信,通过分析外联的进程,即可以找出入侵的控制进程
  • 检查方法:
    1)、登录服务器,单击开始>运行;
    2)、输入 cmd,然后输入 netstat –nao 查看下服务器是否有未被授权的端口被监听;
    3)、打开任务管理器,检查对应的 pid 进程号所对应的进程是否为正常进程,如通过 pid 号查看下运行文件的路径,删除对应路径文件。 或者您也可以通过微软官方提供的 Process Explorer 工具进行排查。
  • 风险性:高

1.3 检查恶意程序及启动项

1、检查服务器内部是否有异常的启动项

  • 检查说明:攻击者在入侵系统后,往往会把恶意程序放到启动项中开机执行
  • 检查方法:
    1)、登录服务器,单击开始>所有程序>启动。
    2)、默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。
    3)、点击开始菜单>运行,输入 msconfig,查看是否存在命名异常的启动项目,有的话您将启动项目的勾选去掉,并到命令中显示的路径删除文件。
    4)、点击开始>运行,输入 regedit,打开注册表,查看开机启动项是否正常,特别一下如下三个注册表项:
    HKEY_CURRENT_USER/software/micorsoft/windows/currentversion/run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
    检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。
  • 风险性:高

2、查看正在连接的会话

  • 检查说明:检查计算机与网络上的其它计算机之间的会话或计划任务
  • 检查方法:
    1)、登录服务器,单击开始>运行;
    2)、输入 cmd,然后输入 C:\net use 或 at,检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接
  • 风险性:中

1.4 检查第三方软件漏洞

1、如果您服务器内有运行对外应用软件(WWW、FTP 等),请您对软件进行配置,限制应用程序的权限,禁止目录浏览或文件写权限
2、开通腾讯云 WAF 防护,查看 WEB 应用防护攻击日志

2. 如何恢复网站或系统?

1、系统确认被入侵后,往往系统文件会被更改和替换,此时系统已经变得不可信,最好的方法就是重新安装系统,同时给新系统安装所有补丁
2、改变所有系统账号的密码为复杂密码(至少与入侵前不一致);
3、修改默认远程桌面端口,操作如下:
1)单击开始>运行,然后输入 regedit。
2)打开注册表,进入如下路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
3)KEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp
4)修改下右侧的 PortNamber 值。
4、配置腾讯云安全组防火墙只允许指定 IP 才能访问远程桌面端口;
5、定期备份重要业务数据和文件;
6、定期更新操作系统及应用程序组件版本(如 FTP、Struts2 等),防止被漏洞利用;
7、安装腾讯云主机安全 Agent 和病毒软件进行定期体检和扫描;

转自腾讯云:https://cloud.tencent.com/document/product/296/9605

Windows入侵问题排查的更多相关文章

  1. 1.Windows入侵排查思路

    0x00 前言 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方 ...

  2. 浅谈Windows入侵检查

    1 准备工作   检查人员应该可以物理接触可疑的系统.因为黑客可能侦测到你可以在检查系统,例如网络监听,所以物理接触会比远程控制更好. 为了当做法庭证据可能需要将硬盘做实体备份.如果需要,断开所有与可 ...

  3. 渗透中Meterpreter基本操作和对应的windows上的排查或者现象

    Meterpreter的简单介绍 Meterpreter 是MSF自带一个强大的SHELL,可以执行很多功能. Meterpreter SHELL 基本操作 meterpreter>backgr ...

  4. windows入侵

    一, ping 用来检查网 络是否通畅或者网络连接速度的命令.作为一个生 活在网络上的管理员或者黑 客来说, ping 命令是第一个必须掌握的 DOS 命令,所利用的原理是这样的网络上的机器都有唯一确 ...

  5. Linux入侵问题排查

    1.深入分析,查找入侵原因 1.1 检查隐藏账户及弱口令 1.1.1.检查服务器系统及应用账户是否存在弱口令 检查说明:检查管理员账户.数据库账户.MySQL账户.tomcat账户.网站后台管理员账户 ...

  6. 排查linux系统是否被入侵

    在日常繁琐的运维工作中,对linux服务器进行安全检查是一个非常重要的环节.今天,分享一下如何检查linux系统是否遭受了入侵? 一.是否入侵检查 1)检查系统日志 检查系统错误登陆日志,统计IP重试 ...

  7. LInux系统木马植入排查分析 及 应用漏洞修复配置(隐藏bannner版本等)

    在日常繁琐的运维工作中,对linux服务器进行安全检查是一个非常重要的环节.今天,分享一下如何检查linux系统是否遭受了入侵? 一.是否入侵检查 1)检查系统日志 检查系统错误登陆日志,统计IP重试 ...

  8. Linux系统是否被植入木马的排查流程梳理

    在日常繁琐的运维工作中,对linux服务器进行安全检查是一个非常重要的环节.今天,分享一下如何检查linux系统是否遭受了入侵? 一.是否入侵检查 1)检查系统日志 1 2 检查系统错误登陆日志,统计 ...

  9. WinDows应急响应基础

    文件排查 开机启动有无异常文件 msconfig 敏感的文件路径 %WINDIR% %WINDIR%\SYSTEM32\ %TEMP% %LOCALAPPDATA% %APPDATA% 用户目录 新建 ...

随机推荐

  1. _stdcall 和 _cdecl

    今天遇到一个问题用C++编写一个动态链接库生成的文件为dll.dll,用在visual stdio 2010调用这个dll 调用形式:[DllImport("dll.dll")] ...

  2. Windows 下面简单的同步文件夹工具

    1. 微软自己的工具 下载地址 https://www.microsoft.com/en-us/download/confirmation.aspx?id=15155 2. 安装过程忽略 3. 配置与 ...

  3. laravel DB 执行 mysql函数或者字段

    使用laravel框架中的DB查询mysql数据库的时候,综合遇到执行mysql函数或者,自定义字段,一般情况下DB会把传入的函数当做字段处理 方法如下: DB:raw('函数或者字段'); DB:w ...

  4. DevExpress15.2+VS2015 破解、汉化

    破解 下载有效的激活工具DEV15.X在VS2015 (亲测),地址 http://download.csdn.net/download/u011149525/9581176 解压后的注册说明: 感谢 ...

  5. fzu 2082 过路费 (树链剖分+线段树 边权)

    Problem 2082 过路费 Accept: 887    Submit: 2881Time Limit: 1000 mSec    Memory Limit : 32768 KB  Proble ...

  6. IDEA中新建Module时Module name、Content root、Module file location的含义

    如下图测试: 最开始默认情况下,Content root.Module file location两行,最末尾的数据跟Module name是相同的. 现在对三行数据,强制进行不同的命名,Finish ...

  7. 洛谷 P1377 [TJOI2011]树的序 解题报告

    P1377 [TJOI2011]树的序 题目描述 众所周知,二叉查找树的形态和键值的插入顺序密切相关.准确的讲:1.空树中加入一个键值\(k\),则变为只有一个结点的二叉查找树,此结点的键值即为\(k ...

  8. SQLServer过期的解决方案

    看图吧,不喜欢说话,图里面我都打备注了 0SQLService异常 1找到安装中心 2升级版本 3监测ing 4输入升级key 5同意并下一步 6下一步 7下一步 8下一步 9收工 10可以打开了

  9. POJ 2235 Frogger / UVA 534 Frogger /ZOJ 1942 Frogger(图论,最短路径)

    POJ 2235 Frogger / UVA 534 Frogger /ZOJ 1942 Frogger(图论,最短路径) Description Freddy Frog is sitting on ...

  10. bzoj2616: SPOJ PERIODNI——笛卡尔树+DP

    不连续的处理很麻烦 导致序列DP又找不到优秀的子问题 自底向上考虑? 建立小根堆笛卡尔树 每个点的意义是:高度是(自己-father)的横着的极大矩形 子问题具有递归的优秀性质 f[i][j]i为根子 ...