Windows系统被入侵后,通常会导致系统资源占用过高、异常端口和进程、可疑的账号或文件等,给业务系统带来不稳定等诸多问题。一些病毒木马会随着计算机启动而启动并获取一定的控制权,启动方式多种多样,比如注册表、服务、计划任务等,这些都是需要重点排查的地方。另外,需要重点关注服务器日志信息,并从里面挖掘有价值的信息。
基于以上,我们总结了Windows服务器入侵排查的思路,从Windows入侵现象、启动方式、安全日志等方面,对服务器最容易出现安全问题的地方进行入手排查。
01、检查系统账号
(1)检查远程管理端口是否对公网开放,服务器是否存在弱口令。
-
-
检查方法:
检查防火墙映射规则,获取服务器账号登录,也可据实际情况咨询相关管理员。
-
(2)查看服务器是否存在可疑账号、新增账号。
-
-
检查方法:
打开 cmd 窗口,输入
lusrmgr.msc命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,根据实际应用情
-
发布者:admin,转转请注明出处:http://www.yc00.com/web/1737315485a3935320.html
评论列表(0条)