赞
踩
Windows系统被入侵后,通常会导致系统资源占用过高、异常端口和进程、可疑的账号或文件等,给业务系统带来不稳定等诸多问题。一些病毒木马会随着计算机启动而启动并获取一定的控制权,启动方式多种多样,比如注册表、服务、计划任务等,这些都是需要重点排查的地方。另外,需要重点关注服务器日志信息,并从里面挖掘有价值的信息。
基于以上,我们总结了Windows服务器入侵排查的思路,从Windows入侵现象、启动方式、安全日志等方面,对服务器最容易出现安全问题的地方进行入手排查。
01、检查系统账号
(1)检查远程管理端口是否对公网开放,服务器是否存在弱口令。
检查方法:
检查防火墙映射规则,获取服务器账号登录,也可据实际情况咨询相关管理员。
(2)查看服务器是否存在可疑账号、新增账号。
检查方法:
打开 cmd 窗口,输入lusrmgr.msc
命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,根据实际应用情况,保留或删除。
(3)查看服务器是否存在隐藏账号、克隆账号。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。