window入侵排查基本

弱口令的更改

查看远程端口是否对外开放 3389

查看是否有新增可疑账户

cmd下
lusrmgr.msc
有可疑就删除或禁用

查看注册表中的管理员的键值对，通过赋予权限e进行查看

查看日志信息

eventvwr.msc
查看时间查看器
导出安全日志进行分析利用软件
导出应用程序日志、安全日志、系统日志，利用Log Parser进行分析。
在利用软件前要排除后门，根据流量进行检测

查看端口及其利用的进程的关系

netstat -ano | findstr LISTENING
看0.0.0.0的
然后根据编号来确定进程
tasklist /svc | findstr 进程号

资源管理器是简单的看

可以使用cmd下的

msinfo32 进行查看相关日志、进程、路径

没有签名验证信息的进程
没有描述信息的进程
进程的属主
进程的路径是否合法
CPU或内存资源占用长时间过高的进程

检查启动项、计划任务、服务

用火绒就行

但在排查总不能给别人安个火绒。。

开始--所有程序--启动
msconfig查看可疑启动相关项，可以项找路径删除相关文件
注册表查看 regedit
关注表
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

运行组策略

gpedit.msc

查看有无可疑脚本

检查计划任务

control到控制面板到任务计划

cmd下的at，查看计算机和网络上其他计算机是否有会话或者计划任务

运行下输入services.msc查看服务状态和启动类型，检查可疑异常服务

检查系统信息相关

查看系统信息

systeminfo，对补丁进行及时打

查看可疑目录在电脑

查看用户目录，新建账号会在这个目录生成一个用户目录，查看是否有新建用户目录。
Window 2003 C:\Documents and Settings
Window 2008R2 C:\Users\

查看最近打开

%UserProfile%\Recent

在服务器目录对文件进行时间排序

修改时间在创建时间的是可疑目录

指定范围进行搜索

利用 Registry Workshop 注册表编辑器的搜索功能，可以找到最后写入时间区间的文件
利用计算机自带文件搜索功能，指定修改时间进行搜索

自动化

安全软件查杀
webshell查杀根据路径，使用多款，互补规则库

web访问日志分析

找到中间件的web日志，打包本地进行分析

使用软件编辑器分析

linux使用vim就行了

在线扫毒

http://www.virscan.org
https://habo.qq.com
https://virusscan.jotti.org
http://www.scanvir.com

webshell查杀

D盾_Web查杀：http://www.d99net.net/index.asp
河马webshell查杀：http://www.shellpub.com
深信服Webshell网站后门检测工具：http://edr.sangfor.com.cn/backdoor_detection.html