这几天看到不少关于黑客攻击服务器,盗取数据、勒索之类的新闻,盾叔只能痛心疾首的多次告诫大家,现在网络安全很重要,这就是网安版的书到用时方恨少。 那么多企业和个人都在用血淋淋的教训告诉我们网络安全的重要性! 不过今天不跟你们说什么网络安全重要啊什么什么的,我嘴都干了,今天我们来说说,被黑客攻击后,,我们最需要做的事情——溯源。 为什么要溯源,通过溯源我们可以更好的了解到攻击者的攻击路径和攻击方法,可以更好的做到系统修复,如果你能力够强,说不定还能通过溯源对攻击者进行反制! 说的通俗点就是,被人打了,总得知道别人怎么打的我、用什么打的我,另外我是不是可以找个机会偷偷的打回来... 好了,话不多说,发车啦!
溯源排查范围一、用户 (1)查看当前登录用户 query user class="ztext-empty-paragraph">
(2)查看系统中所有用户 net user 开始-运行-lusrmgr.msc 查看C:\Users目录排查是否新建用户目录,如果存在则排查对应用户的download和desktop目录是否有可疑文件。 class="ztext-empty-paragraph">
(3)查看是否存在隐藏账号,克隆账号 开始-运行-regedit 查看HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users中是否有异常。 class="ztext-empty-paragraph">
二、启动项 (1)注册表查看启动项 \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run class="ztext-empty-paragraph">
(2)命令行查看启动项 wmic startup list full class="ztext-empty-paragraph">
(3)组策略中查看启动 运行-gpedit.msc class="ztext-empty-paragraph">
三、Recent目录 此目录可以看到程序或文件最后被打开和使用的日期时间。 C:\Users\Administrator\Recent class="ztext-empty-paragraph">
四、windows日志 (1)安全日志 计算机-管理-事件查看器-windows日志-安全(或eventvwr.msc) 根据时间排查安全日志里的登录事件,用户创建等事件情况 着重寻找登录事件(ID4624)且登录类型为3和10等远程登录方式 windows安全日志文件: C:\Windows\System32\winevt\Logs\Security.evtx 查看其大小是否为20M左右,若远远小于20M则有可能被清理过。 class="ztext-empty-paragraph">
(2)系统日志 计算机-管理-事件查看器-windows日志-系统 查看恶意进程的运行状态时间等 class="ztext-empty-paragraph">
五、排查可以进程 (1)查看可疑网络连接 netstat -b -n (2)根据网络连接寻找pid netstat -ano | findstr xxx (3)根据pid寻找进程 tasklist | findstr xxx (4)杀死可疑进程 taskkill /T /F /PID xxxx class="ztext-empty-paragraph">
六、排查计划任务 schtasks /query /fo table /v
运行-taskschd.msc class="ztext-empty-paragraph">
七、排查系统服务 运行-service.msc
以上的这些项就是在遭到黑客的入侵和攻击后,我们对系统的必要排查范围,当然,并不是说只需要排查这些地方没问题就万事大吉了,除了上面这些内容,其它的内容,我就留给在做的各位大佬补全吧,诶,我知道,但我就是不写,就是玩儿。 今天的内容欢迎大家来查漏补缺,私信或者评论都可以,参与的小伙伴盾叔还为他准备了一份大礼。 渗透攻防免费线下体验课名额一个,数量有限,心动的小伙伴赶快行动起来吧! 今天的内容到这里就结束了,还有什么想看或者想了解的就快点评论留言告诉盾叔吧,下课!
|