网盾科技IT教育,只培训技术精英
全国免费咨询电话: 15827351614
被黑客攻击后,溯源时的排查范围有哪些?

这几天看到不少关于黑客攻击服务器,盗取数据、勒索之类的新闻,盾叔只能痛心疾首的多次告诫大家,现在网络安全很重要,这就是网安版的书到用时方恨少。

那么多企业和个人都在用血淋淋的教训告诉我们网络安全的重要性!

不过今天不跟你们说什么网络安全重要啊什么什么的,我嘴都干了,今天我们来说说,被黑客攻击后,,我们最需要做的事情——溯源。

为什么要溯源,通过溯源我们可以更好的了解到攻击者的攻击路径和攻击方法,可以更好的做到系统修复,如果你能力够强,说不定还能通过溯源对攻击者进行反制!

说的通俗点就是,被人打了,总得知道别人怎么打的我、用什么打的我,另外我是不是可以找个机会偷偷的打回来...

好了,话不多说,发车啦!

溯源排查范围

一、用户

(1)查看当前登录用户

query user

 

(2)查看系统中所有用户

net user

开始-运行-lusrmgr.msc

查看C:\Users目录排查是否新建用户目录,如果存在则排查对应用户的download和desktop目录是否有可疑文件。

 

(3)查看是否存在隐藏账号,克隆账号

开始-运行-regedit
查看HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users中是否有异常。

 

二、启动项

(1)注册表查看启动项

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 

(2)命令行查看启动项

wmic startup list full

 

(3)组策略中查看启动

运行-gpedit.msc

 

三、Recent目录

此目录可以看到程序或文件最后被打开和使用的日期时间。

C:\Users\Administrator\Recent

 

四、windows日志

(1)安全日志

计算机-管理-事件查看器-windows日志-安全(或eventvwr.msc)

根据时间排查安全日志里的登录事件,用户创建等事件情况

着重寻找登录事件(ID4624)且登录类型为3和10等远程登录方式

windows安全日志文件:

C:\Windows\System32\winevt\Logs\Security.evtx 查看其大小是否为20M左右,若远远小于20M则有可能被清理过。

 

(2)系统日志

计算机-管理-事件查看器-windows日志-系统

查看恶意进程的运行状态时间等

 

五、排查可以进程

(1)查看可疑网络连接

netstat -b -n

(2)根据网络连接寻找pid

netstat -ano | findstr xxx

(3)根据pid寻找进程

tasklist | findstr xxx

(4)杀死可疑进程

taskkill /T /F /PID xxxx

 

六、排查计划任务

schtasks /query /fo table /v

运行-taskschd.msc

 

七、排查系统服务

运行-service.msc

以上的这些项就是在遭到黑客的入侵和攻击后,我们对系统的必要排查范围,当然,并不是说只需要排查这些地方没问题就万事大吉了,除了上面这些内容,其它的内容,我就留给在做的各位大佬补全吧,诶,我知道,但我就是不写,就是玩儿。