概述
Windows系统被入侵后,通常会导致系统资源占用过高、异常端口和进程、可疑的账号或文件等,给业务系统带来不稳定等诸多问题。一些病毒木马会随着计算机启动而启动并获取一定的控制权,启动方式多种多样,比如注册表、服务、计划任务等,这些都是需要重点排查的地方。另外,需要重点关注服务器日志信息,并从里面挖掘有价值的信息。
基于以上,我们总结了Windows服务器入侵排查的思路,从Windows入侵现象、启动方式、安全日志等方面,对服务器最容易出现安全问题的地方进行入手排查。
01、检查系统账号
(1)检查远程管理端口是否对公网开放,服务器是否存在弱口令。
-
-
检查方法:
检查防火墙映射规则,获取服务器账号登录,也可据实际情况咨询相关管理员。
-
(2)查看服务器是否存在可疑账号、新增账号。
-
-
检查方法:
打开 cmd 窗口,输入
lusrmgr.msc命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,根据实际应用情况,保留或删除。
-
(3)查看服务器是否存在隐藏账号、克隆账号。
最后
以上就是笑点低龙猫为你收集整理的Windows手工入侵排查思路的全部内容,希望文章能够帮你解决Windows手工入侵排查思路所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复