Windows server服务器入侵检查

基本检查点

 

检测不正常账户

查找被新增的账号，特别是管理员群组的（Administrators group）里的新增账户。

C:\lusrmgr.msc

C:\>net localgroup administrators

C:\>net localgroup administrateurs

查找隐藏的文件

在系统文件夹里查看最近新建的文件，比如C:\Windows\system32.

C:\>dir /S /A:H

检查注册表启动项

在Windoows 注册表里查看开机启动项是否正常，特别一下注册表项：

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce

HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx

检查不正常的服务

检查所有运行的服务，是否存在伪装系统服务和未知服务，查看可执行文件的路径。

检查账户启动文件夹

例如：Windows Server 2008

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup

查看正在连接的会话

C:\net use

检查计算机与网络上的其它计算机之间的会话

C:\net session

检查Netbios连接

C:\nbtstat –S

检查系统不正常网络连接

C:\netstat –nao 5

检查自动化任务

检查计划任务清单中未知的计划

C:\at

检查windows日志中的异常

检查防火墙、杀毒软件的事件，或任何可疑的记录。

检查大量的登入尝试错误或是被封锁的账户。
www服务器导入Web访问日志，并查看分析Web访问日志是否完整有攻击痕                             迹。

检查www目录是否存在webshell网页木马，重点检查类似upload目录。

3.检查木马和后门

关于检查高级的木马和后门应依次检查这几项：启动项、进程、模块、内核、服务函数、联网情。使用工具更进一步检查隐藏木马和后门程序，可以使用PChunter

打开界面点击进程，我先对进程进行排查，随便选中一个进程右键菜单点击校验所有数字签名，pchunter会以不同的颜色来显示不同的进程种类。

数字签名是微软的进程：黑色

数字签名非微软的进程：蓝色

微软的进程,如果有些模块是非微软的：土黄色

没有签名的模块：粉红色

可疑进程，隐藏服务、被挂钩函数：红色

重点对数字签名不是微软的进程和驱动排查，尤其是无签名斌并隐藏服务、被挂钩的函数的进程和驱动，如：

对此驱动文件比较怀疑，可以右键点击pchunter在线分析上传到virscan扫描一下。