0x00 前言

當(dāng)企業(yè)發(fā)生黑客入侵、系統(tǒng)崩潰或其它影響業(yè)務(wù)正常運(yùn)行的安全事件時(shí)，急需第一時(shí)間進(jìn)行處理，使企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)在最短時(shí)間內(nèi)恢復(fù)正常工作，進(jìn)一步查找入侵來源，還原入侵事故過程，同時(shí)給出解決方案與防范措施，為企業(yè)挽回或減少經(jīng)濟(jì)損失。

常見的應(yīng)急響應(yīng)事件分類：

web入侵：網(wǎng)頁掛馬、主頁篡改、Webshell

系統(tǒng)入侵：病毒木馬、勒索軟件、遠(yuǎn)控后門

網(wǎng)絡(luò)攻擊：DDOS攻擊、DNS劫持、ARP欺騙

針對(duì)常見的攻擊事件，結(jié)合工作中應(yīng)急響應(yīng)事件分析和解決的方法，總結(jié)了一些Window服務(wù)器入侵排查的思路。

0x01 入侵排查思路

1.1 檢查系統(tǒng)賬號(hào)安全

1、查看服務(wù)器是否有弱口令，遠(yuǎn)程管理端口是否對(duì)公網(wǎng)開放。

• 檢查方法：據(jù)實(shí)際情況咨詢相關(guān)服務(wù)器管理員。

2、查看服務(wù)器是否存在可疑賬號(hào)、新增賬號(hào)。

• 檢查方法：打開 cmd 窗口，輸入lusrmgr.msc命令，查看是否有新增/可疑的賬號(hào)，如有管理員群組的（Administrators）里的新增賬戶，如有，請(qǐng)立即禁用或刪除掉。

3、查看服務(wù)器是否存在隱藏賬號(hào)、克隆賬號(hào)。

• 檢查方法：
  a、打開注冊(cè)表 ，查看管理員對(duì)應(yīng)鍵值。
  b、使用D盾_web查殺工具，集成了對(duì)克隆賬號(hào)檢測(cè)的功能。

4、結(jié)合日志，查看管理員登錄時(shí)間、用戶名是否存在異常。

• 檢查方法：
  a、Win+R打開運(yùn)行，輸入“eventvwr.msc”，回車運(yùn)行，打開“事件查看器”。
  b、導(dǎo)出Windows日志--安全，利用Log Parser進(jìn)行分析。

1.2 檢查異常端口、進(jìn)程

1、檢查端口連接情況，是否有遠(yuǎn)程連接、可疑連接。

• 檢查方法：
  a、netstat -ano 查看目前的網(wǎng)絡(luò)連接，定位可疑的ESTABLISHED?
  b、根據(jù)netstat 定位出的pid，再通過tasklist命令進(jìn)行進(jìn)程定位 tasklist | findstr “PID”

2、進(jìn)程

• 檢查方法：
  a、開始--運(yùn)行--輸入msinfo32，依次點(diǎn)擊“軟件環(huán)境→正在運(yùn)行任務(wù)”就可以查看到進(jìn)程的詳細(xì)信息，比如進(jìn)程路徑、進(jìn)程ID、文件創(chuàng)建日期、啟動(dòng)時(shí)間等。
  b、打開D盾_web查殺工具，進(jìn)程查看，關(guān)注沒有簽名信息的進(jìn)程。
  c、通過微軟官方提供的 Process Explorer 等工具進(jìn)行排查 。
  d、查看可疑的進(jìn)程及其子進(jìn)程。可以通過觀察以下內(nèi)容：
  沒有簽名驗(yàn)證信息的進(jìn)程
  沒有描述信息的進(jìn)程
  進(jìn)程的屬主
  進(jìn)程的路徑是否合法
  CPU或內(nèi)存資源占用長時(shí)間過高的進(jìn)程

3、小技巧：

a、查看端口對(duì)應(yīng)的PID： netstat -ano | findstr “port”

b、查看進(jìn)程對(duì)應(yīng)的PID：任務(wù)管理器--查看--選擇列--PID 或者 tasklist | findstr “PID”

c、查看進(jìn)程對(duì)應(yīng)的程序位置：

任務(wù)管理器--選擇對(duì)應(yīng)進(jìn)程--右鍵打開文件位置

運(yùn)行輸入 wmic，cmd界面 輸入 process

d、tasklist /svc 進(jìn)程--PID--服務(wù)

e、查看Windows服務(wù)所對(duì)應(yīng)的端口： ?%system%/system32/drivers/etc/services（一般%system%就是C:\Windows）

1.3 檢查啟動(dòng)項(xiàng)、計(jì)劃任務(wù)、服務(wù)

1、檢查服務(wù)器是否有異常的啟動(dòng)項(xiàng)。

• 檢查方法：
  a、登錄服務(wù)器，單擊【開始】>【所有程序】>【啟動(dòng)】，默認(rèn)情況下此目錄在是一個(gè)空目錄，確認(rèn)是否有非業(yè)務(wù)程序在該目錄下。 b、單擊開始菜單 >【運(yùn)行】，輸入 msconfig，查看是否存在命名異常的啟動(dòng)項(xiàng)目，是則取消勾選命名異常的啟動(dòng)項(xiàng)目，并到命令中顯示的路徑刪除文件。 c、單擊【開始】>【運(yùn)行】，輸入 regedit，打開注冊(cè)表，查看開機(jī)啟動(dòng)項(xiàng)是否正常，特別注意如下三個(gè)注冊(cè)表項(xiàng)： HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce 檢查右側(cè)是否有啟動(dòng)異常的項(xiàng)目，如有請(qǐng)刪除，并建議安裝殺毒軟件進(jìn)行病毒查殺，清除殘留病毒或木馬。
  d、利用安全軟件查看啟動(dòng)項(xiàng)、開機(jī)時(shí)間管理等。
  e、組策略，運(yùn)行g(shù)pedit.msc。

2、檢查計(jì)劃任務(wù)

• 檢查方法：
  a、單擊【開始】>【設(shè)置】>【控制面板】>【任務(wù)計(jì)劃】，查看計(jì)劃任務(wù)屬性，便可以發(fā)現(xiàn)木馬文件的路徑。
  b、單擊【開始】>【運(yùn)行】；輸入 cmd，然后輸入at，檢查計(jì)算機(jī)與網(wǎng)絡(luò)上的其它計(jì)算機(jī)之間的會(huì)話或計(jì)劃任務(wù)，如有，則確認(rèn)是否為正常連接。

3、服務(wù)自啟動(dòng)

• 檢查方法：單擊【開始】>【運(yùn)行】，輸入services.msc，注意服務(wù)狀態(tài)和啟動(dòng)類型，檢查是否有異常服務(wù)。

1.4 檢查系統(tǒng)相關(guān)信息

1、查看系統(tǒng)版本以及補(bǔ)丁信息

• 檢查方法：單擊【開始】>【運(yùn)行】，輸入systeminfo，查看系統(tǒng)信息

2、查找可疑目錄及文件

• 檢查方法：
  a、 查看用戶目錄，新建賬號(hào)會(huì)在這個(gè)目錄生成一個(gè)用戶目錄，查看是否有新建用戶目錄。
  Window 2003 C:\Documents and Settings
  Window 2008R2 C:\Users\
  b、單擊【開始】>【運(yùn)行】，輸入%UserProfile%\Recent，分析最近打開分析可疑文件。
  c、在服務(wù)器各個(gè)目錄，可根據(jù)文件夾內(nèi)文件列表時(shí)間進(jìn)行排序，查找可疑文件。
  d、回收站、瀏覽器下載目錄、瀏覽器歷史記錄
  e、修改時(shí)間在創(chuàng)建時(shí)間之前的為可疑文件

3、得到發(fā)現(xiàn)WEBSHELL、遠(yuǎn)控木馬的創(chuàng)建時(shí)間，如何找出同一時(shí)間范圍內(nèi)創(chuàng)建的文件？

a、利用 Registry Workshop 注冊(cè)表編輯器的搜索功能，可以找到最后寫入時(shí)間區(qū)間的文件。

b、利用計(jì)算機(jī)自帶文件搜索功能，指定修改時(shí)間進(jìn)行搜索。

1.5 自動(dòng)化查殺

• 病毒查殺
  

• 檢查方法：下載安全軟件，更新最新病毒庫，進(jìn)行全盤掃描。

• webshell查殺
  

• 檢查方法：選擇具體站點(diǎn)路徑進(jìn)行webshell查殺，建議使用兩款webshell查殺工具同時(shí)查殺，可相互補(bǔ)充規(guī)則庫的不足。

1.6 日志分析

系統(tǒng)日志

• 分析方法：
  a、前提：開啟審核策略，若日后系統(tǒng)出現(xiàn)故障、安全事故則可以查看系統(tǒng)的日志文件，排除故障，追查入侵者的信息等。
  b、Win+R打開運(yùn)行，輸入“eventvwr.msc”，回車運(yùn)行，打開“事件查看器”。
  C、導(dǎo)出應(yīng)用程序日志、安全日志、系統(tǒng)日志，利用Log Parser進(jìn)行分析。

WEB訪問日志

• 分析方法：
  a、找到中間件的web日志，打包到本地方便進(jìn)行分析。
  b、推薦工具：Window下，推薦用 EmEditor 進(jìn)行日志分析，支持大文本，搜索效率還不錯(cuò)。
  Linux下，使用Shell命令組合查詢分析
  

0x02 工具篇

2.1 病毒分析

PCHunter：http://www.xuetr.com

火絨劍：https://www.huorong.cn

Process Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

processhacker：https://processhacker.sourceforge.io/downloads.php

autoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

OTL：https://www.bleepingcomputer.com/download/otl/

SysInspector：http://download.eset.com.cn/download/detail/?product=sysinspector

2.2 病毒查殺

卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe?（推薦理由：綠色版、最新病毒庫）

大蜘蛛：http://free.drweb.ru/download+cureit+free（推薦理由：掃描快、一次下載只能用1周，更新病毒庫）

火絨安全軟件：https://www.huorong.cn

360殺毒：http://sd.#/download_center.html

2.3 病毒動(dòng)態(tài)

CVERC-國家計(jì)算機(jī)病毒應(yīng)急處理中心：http://www.cverc.org.cn

微步在線威脅情報(bào)社區(qū)：https://x.threatbook.cn

火絨安全論壇：http://bbs.huorong.cn/forum-59-1.html

愛毒霸社區(qū)：http://bbs.duba.net

騰訊電腦管家：http://bbs.guanjia.qq.com/forum-2-1.html

2.4 在線病毒掃描網(wǎng)站

http://www.virscan.org?//多引擎在線病毒掃描網(wǎng) v1.02，當(dāng)前支持 41 款殺毒引擎

https://habo.qq.com?//騰訊哈勃分析系統(tǒng)

https://virusscan.jotti.org?//Jotti惡意軟件掃描系統(tǒng)

http://www.scanvir.com?//針對(duì)計(jì)算機(jī)病毒、手機(jī)病毒、可疑文件等進(jìn)行檢測(cè)分析

2.5 webshell查殺

D盾_Web查殺：http://www.d99net.net/index.asp

河馬webshell查殺：http://www.shellpub.com

深信服Webshell網(wǎng)站后門檢測(cè)工具：http://edr.sangfor.com.cn/backdoor_detection.html

Safe3：http://www.uusec.com/webshell.zip