弱口令的更改
查看远程端口是否对外开放 3389
查看是否有新增可疑账户
cmd下
lusrmgr.msc
有可疑就删除或禁用
查看注册表中的管理员的键值对,通过赋予权限e进行查看
查看日志信息
eventvwr.msc
查看时间查看器
导出安全日志进行分析利用软件
导出应用程序日志、安全日志、系统日志,利用Log Parser进行分析。
在利用软件前要排除后门,根据流量进行检测
查看端口及其利用的进程的关系
netstat -ano | findstr LISTENING
看0.0.0.0的
然后根据编号来确定进程
tasklist /svc | findstr 进程号
资源管理器是简单的看
可以使用cmd下的
msinfo32 进行查看相关日志、进程、路径
没有签名验证信息的进程
没有描述信息的进程
进程的属主
进程的路径是否合法
CPU或内存资源占用长时间过高的进程
检查启动项、计划任务、服务
用火绒就行
但在排查总不能给别人安个火绒。。
开始--所有程序--启动
msconfig查看可疑启动相关项,可以项找路径删除相关文件
注册表查看 regedit
关注表
HKEY_CURRENT_USERsoftwaremicorsoftwindowscurrentversion
un
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce
运行组策略
gpedit.msc
查看有无可疑脚本
检查计划任务
control到控制面板到任务计划
cmd下的at,查看计算机和网络上其他计算机是否有会话或者计划任务
运行下输入services.msc查看服务状态和启动类型,检查可疑异常服务
检查系统信息相关
查看系统信息
systeminfo,对补丁进行及时打
查看可疑目录在电脑
查看用户目录,新建账号会在这个目录生成一个用户目录,查看是否有新建用户目录。
Window 2003 C:Documents and Settings
Window 2008R2 C:Users
查看最近打开
%UserProfile%Recent
在服务器目录对文件进行时间排序
修改时间在创建时间的是可疑目录
指定范围进行搜索
利用 Registry Workshop 注册表编辑器的搜索功能,可以找到最后写入时间区间的文件
利用计算机自带文件搜索功能,指定修改时间进行搜索
自动化
安全软件查杀
webshell查杀根据路径,使用多款,互补规则库
web访问日志分析
找到中间件的web日志,打包本地进行分析
使用软件编辑器分析
linux使用vim就行了
在线扫毒
http://www.virscan.org
https://habo.qq.com
https://virusscan.jotti.org
http://www.scanvir.com
webshell查杀
D盾_Web查杀:http://www.d99net.net/index.asp
河马webshell查杀:http://www.shellpub.com
深信服Webshell网站后门检测工具:http://edr.sangfor.com.cn/backdoor_detection.html