目录
(一)关于这方面的一些简单了解
1、我们的电脑为什么会被黑客入侵
2、黑客攻击的方式
(二)window入侵排查
1、查看异常特征
第一步是先查看异常,是哪发生了异常,先查看一下发生异常的范围是多大,影响有多大,具体排查的内容是:
2、系统账户安全
第二步,是查看登录账户 ,有些黑客入侵之后,下一步是想你的这台电脑,真正变成它的电脑,也就是,黑客不管什么时候控制,就能什么时候控制,他要实现这一步,就是提权的过程,添加用户就是常见的方式之一,所以我们要对用户进行查找
具体方式如下:
3、检测异常端口、进程
查看端口和进程可以提供有关系统和网络活动的关键信息,有助于确定是否存在入侵或恶意活动的迹象,查看端口,看看有没有什么异常的服务被开启,一些服务是由漏洞,黑客可以通过漏洞然后进行提权、内网渗透等操作。查看进程是查看是否异常的进程运行我们为见过的程序,黑客,可能是靠恶意程序,例如木马,来反弹shell,
端口:
进程:
4、查看启动项、计划任务、服务
启动项、计划任务、服务这些地方都是黑客进行维权的地方,
- 启动项是指在操作系统启动时自动执行的程序或脚本,如果在这里面植入病毒,效果就是,你每开机一次,病毒就会启动一次,这样就会反弹shell到黑客,黑客就能控制你的电脑。
- 计划任务是预先设置的按计划执行的任务,可以在计算机空闲时执行某些操作,黑客可能设置计划任务,每个一段时间就执行他存放的病毒文件
- 服务是在操作系统后台运行的程序或进程,提供特定的功能和服务,
启动项查看:
计划任务查看
服务查看:
5、检查系统相关信息
(三)linux入侵排查
1、linux系统排查
2、linux用户排查
3、linux文件和命令排查
4、linux启动项和定时任务排查
(四)window和linux的应急响应
应急响应分两个阶段,当攻击发生之前,要做好准备,事情发生之后,也要对应的方法应对。