window入侵排查

玉兰 好物分享

入侵排查思路
1.1检查系统账号安全
1.查看服务器是否存在可疑账号、新增账号。
检查方法:打开 cmd 窗口,输入lusrmgr.msc命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。

 2、查看服务器是否存在隐藏账号、克隆账号。
检查方法: a、打开注册表 ,查看管理员对应键值。

 b、使用D盾_web查杀工具,集成了对克隆账号检测的功能。

 4、结合日志,查看管理员登录时间、用户名是否存在异常。
检查方法: a、Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。
b、导出Windows日志--安全,利用Log Parser进行分析。

 1.2 检查异常端口、进程
1、检查端口连接情况,是否有远程连接、可疑连接。
检查方法: a、netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED
b、根据netstat 定位出的pid,再通过tasklist命令进行进程定位

window入侵排查最先出现在Python成神之路

版权声明:
作者:玉兰
链接:https://www.techfm.club/p/9798.html
来源:TechFM
文章版权归作者所有,未经允许请勿转载。

THE END
分享
二维码
< <上一篇
下一篇>>