什么是应急响应.
一个组织为了 应对 各种网络安全意外事件的发生 所做的准备 以及在 事件发生后 所采取的措施 。说白了就是别人攻击你了,你怎么把这个攻击还原,看看别人是怎么攻击的,然后你如何去处理,这就是应急响应。
目录:
什么是应急响应.
应急响应工作流程:
常见的应急响应分类:
Windows 入侵排查思路:
(1)检查系统 账号安全.
(2)检查异常 端口.
(3)查看异常 进程.
(4)检查 启动项.
(5)检查 计划任务.
(6)检查 服务.
(7)检查系统相关信息.
应急响应工作流程:
常见的应急响应分类:
Windows 入侵排查思路:
(1)检查系统 账号安全.
查看服务器是否有 弱口令.
检查方法:实际情况咨询相关服务器管理员.(或者用扫描器扫描)口令需要:设置 大小写字母 + 数字 + 符号(不少于 8 位)查看服务器是否存在 可疑账号、新增账号.
检查方法:打开 cmd 窗口,输入 lusrmgr.msc 命令.
或者
使用 "控制面板" 中的 "用户帐户" 工具.
检查是否有多余账户,也可以通过指令来查看.
命令:net user
如果查找 克隆账号 ,可以使用 D盾 进行查看.
(2)检查异常 端口.
netstat -an // 查看端口
上面只要做排查可疑连接.然后我们也可以扫描我们的外网ip地址,看看哪个ip地址和哪个端口是开放的,这个信息要收集起来的.netstat -an -p tcp // 指定协议.
netstat -an -p tcp|findstr "ESTABLISHED" // 查找监听连接的
netstat -ano -p tcp|findstr "ESTABLISHED" // 查找监听连接的多加一个 O 就是进程
(3)查看异常 进程.
打开任务管理器,找到上面 异常端口 连接的进程 看看是什么.
在 服务(详情) 里面找到 PID 看看里面的数字.
就是这一个一个进程进行查找,排除异常进程(软件).
根据 netstat 定位出的 PID,再通过 tasklist 命令进行进程定位.
tasklist | findstr "PID"
(4)检查 启动项.
检查服务器是否有异常的启动项,因为有些木马都是开启自启动的,不然下次开机他就没用了.
(5)检查 计划任务.
(6)检查 服务.
(7)检查系统相关信息.
检查方法:单击【开始】>【运行】,输入cmd,然后输入systeminfo,查看系统信息、补丁信息等
学习链接:03-windows入侵排查思路_哔哩哔哩_bilibili
