0
点赞
收藏
分享

微信扫一扫

溯源日志分析(windows)

溯源目的

1.判断这次应急是否是被成功入侵的安全事件

2.找到攻击者的第一入口,提取样本

3.帮助客户梳理攻击者的攻击路线,提供修复方案

常见的应急响应分类

日志:网站日志,系统日志

信息收集:子域名扫描,端口扫描,目录扫描

参数请求:GET POST 登录注册访问等等请求方式

getshell:上传的shell文件,文件上传请求,以及执行的各种命令

提权:提权是上传的脚本工具,以及执行的命令

内网:上传的工具以及执行的命令和操作行为

溯源:

 1.分析服务器:

开放网络端口:不同端口下的脆弱点挨个排除,爆破,弱口令,漏洞等

 2.web服务器:

分析web服务的功能top漏洞利用脆弱点是否被利用,分析网站数据库是否可外联写入以及账号权限,分析网站日志以及容器等

溯源日志分析(windows)_上传

Windows入侵排查思路

1.查看服务器是否存在弱口令,远程管理端口是否对外开放

2. 查看服务器是否存在可疑账号、新增账号.( lusrmgr.msc)net user,删除异常账号

溯源日志分析(windows)_Windows应急_02

3.查看服务器是否存在隐藏账号、克隆账号。

溯源日志分析(windows)_服务器_03

4.结合日志,查看管理员登录时间、用户名是否存在异常。    

 eventvwr.msc时间处理器查看日志处理可疑事件

溯源日志分析(windows)_Windows应急_04

5.检查异常端口,进程可疑连接  

1. netstat -ano 查看目前的网络连接,定位可疑连接

2. tasklist | findstr “PID”定位进程

溯源日志分析(windows)_服务器_05

溯源日志分析(windows)_服务器_06

6.进程

msinfo32,依次点击“软件环境→正在运行任务

溯源日志分析(windows)_上传_07

7.查看计划任务

单击【开始】>【运行】;输入 cmd,然后输入at,检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接。

溯源日志分析(windows)_脆弱点_08

8.服务自启动

方法:单击【开始】>【运行】,输入services.msc,注意服务状态和启动类型,检查是否有异常服务。 

溯源日志分析(windows)_服务器_09

9.查找可疑目录及文件

C:\users 查看用户目录,新建账号会在这个目录生成一个用户目录查看是否有新建用户目录。

单击【开始】>【运行】,输入%UserProfile%\Recent,分析最近打开分析可疑文件。

在服务器各个目录,可根据文件夹内文件列表时间进行排序,查找可疑文件。

回收站、浏览器下载目录、浏览器历史记录

溯源日志分析(windows)_上传_10

溯源日志分析(windows)_服务器_11

10.查看可疑进程,跟踪到目录,查看是否有复制性进而清理

溯源日志分析(windows)_上传_12

溯源日志分析(windows)_上传_13

11.中间件解析导致被利用

溯源日志分析(windows)_服务器_14

12.端口弱口令分析,是否存在弱口令被爆破

溯源日志分析(windows)_上传_15


举报

相关推荐

0 条评论