筆者對(duì)常見(jiàn)的托管租用使用Windows Server系統(tǒng)的服務(wù)器及VPS主機(jī)是否存在惡意入侵�����、如何排查惡意入侵做一個(gè)簡(jiǎn)單的描述及提供簡(jiǎn)單相應(yīng)的解決辦法�。
第一步、檢查系統(tǒng)組及用戶(hù)
我的電腦——右鍵管理——本地用戶(hù)和組——組
檢查administrators組內(nèi)是否存在除開(kāi)管理員用戶(hù)賬號(hào)(默認(rèn)為administrator)以外的其他用戶(hù)賬號(hào)����。
檢查users組內(nèi)是否存在非系統(tǒng)默認(rèn)賬號(hào)或管理員指定賬號(hào)�。
本地用戶(hù)和組——用戶(hù)
檢查是否存在未做注釋或名稱(chēng)異常的用戶(hù)。
一般由于軟件后本被入侵的服務(wù)器都會(huì)在administrators組內(nèi)添加一個(gè)admin$或相類(lèi)似的用戶(hù)�,一旦發(fā)現(xiàn)該類(lèi)用戶(hù)就應(yīng)該首先避免運(yùn)行任何程序,停止所有服務(wù)并及時(shí)使用殺毒軟件對(duì)服務(wù)器關(guān)鍵區(qū)域(啟動(dòng)駐存��、C盤(pán)系統(tǒng)文件夾用戶(hù)自定義文件夾)進(jìn)行完整掃描�,避免木馬的二次交叉感染。
第二步���、檢查管理員賬戶(hù)是否存在異常的登陸和注銷(xiāo)記錄
我的電腦——右鍵管理——事件查看器——安全性
篩選所有事件ID為576和528的事件(576為系統(tǒng)登陸日志528為系統(tǒng)注銷(xiāo)日志)查看具體事件信息內(nèi)容。內(nèi)容內(nèi)會(huì)存在一個(gè)登陸IP�����。檢查該IP是否為管理員常用登陸的IP�。
第三步����、檢查服務(wù)器是否存在異常的登陸啟動(dòng)項(xiàng)
開(kāi)始菜單——所有程序——啟動(dòng)
該目錄在默認(rèn)情況下應(yīng)該是一個(gè)空目錄����,但是如果出現(xiàn)一個(gè)異常的.bat程序的話就應(yīng)該全盤(pán)掃描服務(wù)器以確認(rèn)服務(wù)器安全性��。
開(kāi)始菜單——運(yùn)行
msconfig
啟動(dòng)菜單欄中是否存在命名異常的啟動(dòng)項(xiàng)目�,例如A.EXE XXXXI1SU2.EXE等����,一旦發(fā)現(xiàn)全盤(pán)掃描服務(wù)器以確認(rèn)服務(wù)器安全性。
開(kāi)始菜單——運(yùn)行
regedit
hkey_current_user—software—micorsoft—windows—currentversion-run
hkey_current_machine—software—micorsoft—windows—currentversion-run
檢查以上2個(gè)項(xiàng)目下是否存在異常��。
一般情況下如果以上3個(gè)步驟檢查不存在異常的話基本就可以判定服務(wù)器的安全環(huán)境是無(wú)故障的�。
