1 準備工作檢查人員應該可以物理接觸可疑的系統(tǒng)。因為黑客可能偵測到你可以在檢查系統(tǒng),例如網(wǎng)絡監(jiān)聽,所以物理接觸會比遠程控制更好。 為了當做法庭證據(jù)可能需要將硬盤做實體備份。如果需要,斷開所有與可疑機器的網(wǎng)絡連接。 做入侵檢查時,檢查人員需要一臺PC對檢查的過程進行檢查項目的結果記錄。 請維護可疑服務器人員或者PC使用人員來配合,來確定機器上運行的服務和安裝的軟件,便于安全檢查人員提交檢查的效率和準確性。 2 基本檢查點檢測不正常賬戶 查找被新增的賬號,特別是管理員群組的(Administrators group)里的新增賬戶。 C:\lusrmgr.msc C:\>net localgroup administrators C:\>net localgroup administrateurs 查找隱藏的文件 在系統(tǒng)文件夾里查看最近新建的文件,比如C:\Windows\system32. C:\>dir /S /A:H 檢查注冊表啟動項 在Windoows 注冊表里查看開機啟動項是否正常,特別一下注冊表項: HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx 檢查不正常的服務 檢查所有運行的服務,是否存在偽裝系統(tǒng)服務和未知服務,查看可執(zhí)行文件的路徑。 檢查賬戶啟動文件夾 例如:Windows Server 2008 C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup 查看正在連接的會話 C:\net use 檢查計算機與網(wǎng)絡上的其它計算機之間的會話 C:\net session 檢查Netbios連接 C:\nbtstat –S 檢查系統(tǒng)不正常網(wǎng)絡連接 C:\netstat –nao 5 檢查自動化任務 檢查計劃任務清單中未知的計劃 C:\at 檢查windows日志中的異常 檢查防火墻、殺毒軟件的事件,或任何可疑的記錄。 檢查大量的登入嘗試錯誤或是被封鎖的賬戶。 www服務器導入Web訪問日志,并查看分析Web訪問日志是否完整有攻擊痕 跡。 檢查www目錄是否存在webshell網(wǎng)頁木馬,重點檢查類似upload目錄。 3.檢查木馬和后門 關于檢查高級的木馬和后門應依次檢查這幾項:啟動項、進程、模塊、內(nèi)核、服務函數(shù)、聯(lián)網(wǎng)情。使用工具更進一步檢查隱藏木馬和后門程序,可以使用PChunter 打開界面點擊進程,我先對進程進行排查,隨便選中一個進程右鍵菜單點擊校驗所有數(shù)字簽名,pchunter會以不同的顏色來顯示不同的進程種類。 數(shù)字簽名是微軟的進程:黑色 數(shù)字簽名非微軟的進程:藍色 微軟的進程,如果有些模塊是非微軟的:土黃色 沒有簽名的模塊:粉紅色 可疑進程,隱藏服務、被掛鉤函數(shù):紅色 重點對數(shù)字簽名不是微軟的進程和驅(qū)動排查,尤其是無簽名斌并隱藏服務、被掛鉤的函數(shù)的進程和驅(qū)動,如: 對此驅(qū)動文件比較懷疑,可以右鍵點擊pchunter在線分析上傳到virscan掃描一下。 4 檢測注意項如果這臺機器業(yè)務很重要不能被切斷網(wǎng)絡連接,要備份所有重要的資料避免黑客注意到正在檢測而刪除文件。 如果這臺機器業(yè)務不是很重要建議切斷網(wǎng)絡連接做物理隔離,將整個硬盤進行外置存儲復制鏡像。可以使用EnCase或者dd等。 嘗試找出黑客活動的證據(jù): l 找到攻擊者使用過的文件,包含被刪除的文件(使用取證工具)查看這些文件做了什么,了解它的功能。 l 檢查最近被存取的所有檔案。 l 查找是否有遠程控制或后門之類的傳播。 l 嘗試找出攻擊者如何進入系統(tǒng)。所以可能都要考慮到。 l 修復攻擊者利用的漏洞。 5.修復不論攻擊者入侵系統(tǒng)到什么程度以及安全檢測人員檢查的收攻擊的了解,只要系統(tǒng)被滲透過,最好的方法就是用原始工具重新安裝系統(tǒng)。然后在新系統(tǒng)上安裝所有的補丁,www服務器按照安全標準配置目錄權限和配置文件。 改變所有系統(tǒng)賬號的密碼 檢查恢復那些已經(jīng)被攻擊者篡改的文件。 【轉(zhuǎn)自互聯(lián)網(wǎng),侵權刪除】 |
|
|
來自: 首家i55ryzehof > 《電腦知識》
