应急响应--windows入侵检查思路及流程

文章预览

什么时候做应急响应 服务器被入侵，业务出现蠕虫事件，用户以及公司员工被钓鱼攻击，业务被 DDoS 攻击，核心业务出现DNS、链路劫持攻击等等 如何做应急响应 确定攻击时间 查找攻击线索 梳理攻击流程 实施解决方案 定位攻击者 常见应急响应事件分类 web入侵：网页挂马、主页篡改、Webshell 系统入侵：病毒木马、勒索软件、远控后门、系统异常、RDP爆破、SSH爆破、主机漏洞、数据库入侵等 网络攻击：DDOS攻击、DNS劫持、ARP欺骗 路由器/交换机异常：内网病毒，配置错误等 入侵排查思路 1、检查系统账号安全 查看服务器是否存在可疑账号、新增账号 1、打开 cmd 窗口，输入 lusrmgr.msc 命令，查看是否有新增/可疑的账号，如有管理员群组的（Administrators）里的新增账户 查看服务器是否存在隐藏账号、克隆账号 1：打开注册表 ，查看管理员对应键值 1 ………………………………