1 準備工作
檢查人員應該可以物理接觸可疑的系統。因為黑客可能偵測到你可以在檢查系統,例如網絡監聽,所以物理接觸會比遠程控制更好。
為了當做法庭證據可能需要將硬盤做實體備份。如果需要,斷開所有與可疑機器的網絡連接。
做入侵檢查時,檢查人員需要一臺PC對檢查的過程進行檢查項目的結果記錄。
請維護可疑服務器人員或者PC使用人員來配合,來確定機器上運行的服務和安裝的軟件,便於安全檢查人員提交檢查的效率和準確性。
2 基本檢查點
檢測不正常賬戶
查找被新增的賬號,特別是管理員群組的(Administrators group)裡的新增賬戶。
C:\lusrmgr.msc
C:\>net localgroup administrators
C:\>net localgroup administrateurs
查找隱藏的文件
在系統文件夾裡查看最近新建的文件,比如C:\Windows\system32.
C:\>dir /S /A:H
檢查註冊表啟動項
在Windoows 註冊表裡查看開機啟動項是否正常,特別一下注冊表項:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx
檢查不正常的服務
檢查所有運行的服務,是否存在偽裝系統服務和未知服務,查看可執行文件的路徑。
檢查賬戶啟動文件夾
例如:Windows Server 2008
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup
查看正在連接的會話
C:\net use
檢查計算機與網絡上的其它計算機之間的會話
C:\net session
檢查Netbios連接
C:\nbtstat –S
檢查系統不正常網絡連接
C:\netstat –nao 5
檢查自動化任務
檢查計劃任務清單中未知的計劃
C:\at
檢查windows日誌中的異常
檢查防火牆、殺毒軟件的事件,或任何可疑的記錄。
檢查大量的登入嘗試錯誤或是被封鎖的賬戶。
www服務器導入Web訪問日誌,並查看分析Web訪問日誌是否完整有攻擊痕 跡。
檢查www目錄是否存在webshell網頁木馬,重點檢查類似upload目錄。
3.檢查木馬和後門
關於檢查高級的木馬和後門應依次檢查這幾項:啟動項、進程、模塊、內核、服務函數、聯網情。使用工具更進一步檢查隱藏木馬和後門程序,可以使用PChunter
打開界面點擊進程,我先對進程進行排查,隨便選中一個進程右鍵菜單點擊校驗所有數字簽名,pchunter會以不同的顏色來顯示不同的進程種類。
數字簽名是微軟的進程:黑色
數字簽名非微軟的進程:藍色
微軟的進程,如果有些模塊是非微軟的:土黃色
沒有簽名的模塊:粉紅色
可疑進程,隱藏服務、被掛鉤函數:紅色
重點對數字簽名不是微軟的進程和驅動排查,尤其是無簽名斌並隱藏服務、被掛鉤的函數的進程和驅動,如:
對此驅動文件比較懷疑,可以右鍵點擊pchunter在線分析上傳到virscan掃描一下。
4 檢測注意項
如果這臺機器業務很重要不能被切斷網絡連接,要備份所有重要的資料避免黑客注意到正在檢測而刪除文件。
如果這臺機器業務不是很重要建議切斷網絡連接做物理隔離,將整個硬盤進行外置存儲複製鏡像。可以使用EnCase或者dd等。
嘗試找出黑客活動的證據:
l 找到攻擊者使用過的文件,包含被刪除的文件(使用取證工具)查看這些文件做了什麼,瞭解它的功能。
l 檢查最近被存取的所有檔案。
l 查找是否有遠程控制或後門之類的傳播。
l 嘗試找出攻擊者如何進入系統。所以可能都要考慮到。
l 修復攻擊者利用的漏洞。
5.修復
不論攻擊者入侵系統到什麼程度以及安全檢測人員檢查的收攻擊的瞭解,只要系統被滲透過,最好的方法就是用原始工具重新安裝系統。然後在新系統上安裝所有的補丁,www服務器按照安全標準配置目錄權限和配置文件。
改變所有系統賬號的密碼
檢查恢復那些已經被攻擊者篡改的文件。
閱讀更多 攸一教程網 的文章
