0x01 入侵排查思路 3
一、检查系统账号安全 3
1、查看服务器是否有弱口令,远程管理端口是否对公网开放。 3
2、查看服务器是否存在可疑账号、新增账号。 3
3、查看服务器是否存在隐藏账号、克隆账号。 3
4、结合日志,查看管理员登录时间、用户名是否存在异常。 4
二、检查异常端口、进程 4
1、检查端口连接情况,是否有远程连接、可疑连接。 4
2、进程 5
3、小技巧: 6
三、检查启动项、计划任务、服务 6
1、检查服务器是否有异常的启动项。 6
2、检查计划任务 7
3、服务自启动 8
四、检查系统相关信息 8
1、查看系统版本以及补丁信息 8
2、查找可疑目录及文件 8
五、自动化查杀 9
六、日志分析 9
0x02 工具篇 10
0x03 应急响应实战之 FTP 暴力破解 13
登录类型 8:网络明文(NetworkCleartext) 15
0x04 应急响应实战之蠕虫病毒 18
1、安装杀毒软件,定期全盘扫描 21
2、不使用来历不明的软件,不随意接入未经查杀的 U 盘 22
3、定期对 windows 系统漏洞进行修复,不给病毒可乘之机 22
4、做好重要文件的备份,备份,备份。 22
0x05 应急响应实战之勒索病毒 22
360 安全卫士勒索病毒专题: 24
0x06 应急响应实战之挖矿病毒 25
1、根据实际环境路径,删除 WebLogic 程序下列 war 包及目录 27
2、重启 WebLogic 或系统后,确认以下链接访问是否为 404 28
1、安装安全软件并升级病毒库,定期全盘扫描,保持实时防护 28
2、及时更新 Windows 安全补丁,开启防火墙临时关闭端口 28
3、及时更新 web 漏洞补丁,升级 web 组件 28