系统入侵排查

当设备遭到入侵后，我们该如何排查可疑程序和进程呢？本文将为你介绍在Windows和Linux系统中常用的排查方法。

Windows系统

对于windows系统。我们优先考虑通过各种杀毒软件进行杀毒扫描。当然如何shell是免杀的话，我们只能进行手动排查！

🥳查看账号

攻击者为了方便登录系统。往往会給自己添加相应的账号，并且有些账号可能是隐藏账号。

🐼普通账号

首先win+r输入下面命令

lusrmgr.msc

🌈隐藏账号

win+r输入regedit查看HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

 

🍓系统日志分析

win+r输入eventvwr.msc -> windows日志

✈️排查网络与端口

如何设备遭到入侵，哪么设备和攻击者之间肯定会建立通信。这时我们可以检查可疑的IP和端口。

netstat -ano

⚽排查恶意进程

tasklist

🎧检查自启动

win+r输入msconfig，查看自启动服务。

🍺检查计划任务

schtasks

🚀最近打开文件

win+r输入%UserProfile%\Recent

Linux系统

对于Linux系统，排查难度和Windows相比难度略有提升。在使用安全狗 D盾 云锁等常规WAF无果的情况下。我们可以手动进行排查。

🚸历史执行命令记录

在Linux中，我们可以查看执行各种命令的历史记录。

history

🪤检查定时任务

ls /etc/cron*

❄️查看用户

cat /etc/passwd

🍀查看登录及重启记录

last

🏓网络与端口

netstat -alntp

🍑查看进程

ps -aux

🥳查看自启程序

ls –alt /etc/init.d/

总结

相对于各种服务器厂商，我觉得目前做的还是特别好。如阿里云和腾讯云。一旦服务器有异常，会第一时间通知管理员。当然很多安全产品需要大量的经济支持。

 

转自kali黑客笔记公众号：系统入侵排查

__EOF__

本文作者：LFD_dnbh
本文链接：https://www.cnblogs.com/lfd-dnbh/p/17037600.html
关于博主：评论和私信会在第一时间回复。或者直接私信我。
版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！
声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力！