首先要如何防止对方按照保证的系统环境又一次直接登录,条件不允许的情况下最好就是将WEB,FTP,MAIL,SQL等服务准备好关闭等检查必须时再开启(暴戾的情况下可以不然后用IP策略封掉除自己除了绝大部分的上下行网络连接)
同样的要能保证当前系统环境的稳定正常,对文件的操作建议建议使用everyone婉拒的形式而不是什么然后删除掉。
实际本地用户和组(lusrmgr.msc)查看否存在多个管理员或克隆用户。无用的管理员修改密码后完全禁止打开,克隆帐号会继承原用户的数据,比如说帐号那说明之类的很好怎么区分。然后打开regedt32给HKEY_LOCAL_MACHINESAMSAM再加administrators由你来(一般黑客早帮你能够完成了这步)就能见到SAM项下的内容。HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames下看的到用户的列表,设置为的二进制键值记录的是帐号填写的UID,比如0x1f4。UID列表按于HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers这里是帐号的权限信息,或者0x1f4随机000001F4项。找不到克隆帐号修改掉他的UID将其删除,还原系统注册表权限。
这个可以通过第三方工具冰刃(iecsword)进行进程检查。发现到可疑迹象的进程彻底关闭(system32svchost.exe,lsass.exe,winlogon.exe,csrss.exe为最重要的的系统进程,最后确认进程文件路径的情况下不要去关闭。)。若要冰刃中提示存在但进程管理器中根本无法看见了的,在该进程的“模块信息中“得出答案该程序是再插入到哪个啊进程中的并将其“噬魂之手解除禁止“(有可能会系统自动重启,如再插入的是系统的重要进程,需当初EVERYONE婉拒掉该进程文件后再噬灵鬼斩解锁,DLL文件反去注册后再执行前的操作)。
C:DocumentsandSettingsAllUsersDocuments
C:DocumentswellSettingsAllUsersApplicationData
C:wmpubwmiislog
下有无有可疑程序。
C:DocumentsbothSettings下是否是有其他用户的目录。如果没有存在则直接进入该用户目录搜索*.exe*.com*.bat可能会会可以找到一些登录后用过的工具以备万一结论突袭过程。
C:DocumentswellSettingsxxxxxLocalSettings目录下能不能找到该用户一些不能访问的缓存记录也促进身体血液循环分析什么。
检查一下当前端口在用状态,减攻击模式的木马会监听端口来静静的等待再连接。可以通过netstat-anb|more来获取当前端口的使用状态和随机的程序名(只主要用于03系统)。
windows目录和system32目录右击→文件查看→详细信息→按日期排列后找出最近建立起的exe和dll文件对其进行排查。
检查杀毒软件的日志记录,好象是从WEB进行提权的,获得可以上传权限后会按照这个站点上传成功WEB木马这时候来讲也可以从杀毒软件的日志中突然发现一些记录。入侵后可以上传的程序很可能会被当做病毒清除。通过日志也可以获得木马路径以及木马程序名称。
检查cmd.exenet.exenet1.execacls.exeregedit.exeregedt32.exe程序的权限是否需要有被如何修改。
检查系统启动组(msconfig)以及组策略(gpedit.msc)。组策略中的管理模版→系统→登陆账号要特别注意。
检查一下SERV-U用户是否需要有系统管理员权限。搜索SERV-U配置文件ServUDaemon.ini关键字为“system”。如发现自己Maintenance=System则此用户的权限存在问题,直接更换SERV-U除两个.ini外的所有文件以能够防止捆绑,能够完成后给SERV-U加上管理密码。
系统检查SQL SERVER是否有systemAdministrators角色的用户,是否是有用户手中掌握多个库的访问权限。
MYSQL备份好MYSQL库检查USER表。表中3行华指三个用户的权限,发现与ROOT内容是一样的的行一律删出。
修复和更新肯定受损伤的杀毒软件,新的配置好不好安全环境。
版权声明:xxxxxxxxx;
工作时间:8:00-18:00
客服电话
电子邮件
admin@qq.com
扫码二维码
获取最新动态
