Windows侵入のトラブルシューティング

序文

企業がハッキング、システムクラッシュ、またはビジネスの通常の運用に影響を与えるその他のセキュリティインシデントが発生した場合、企業のネットワーク情報システムが最短時間で通常の作業を再開できるように、できるだけ早く対処することが急務です。、さらに侵入の原因を特定し、侵入事故のプロセスを復元します。同時に、企業の経済的損失を回復または削減するための解決策と予防策が提供されます。

一般的な緊急対応イベントの分類：

Web侵入：Webページのぶら下げ、ホームページの改ざん、Webshell

システムへの侵入：ウイルストロイの木馬、ランサムウェア、リモートコントロールバックドア

ネットワーク攻撃：DDOS攻撃、DNSハイジャック、ARPスプーフィング

一般的な攻撃イベントを考慮して、職場での緊急対応インシデントの分析と解決を組み合わせて、Windowsサーバー侵入のトラブルシューティングに関するいくつかのアイデアを要約します。

侵入調査のアイデア

1.システムアカウントのセキュリティを確認します

1.サーバーのパスワードが弱いかどうか、およびリモート管理ポートがパブリックネットワークに対して開いているかどうかを確認します。

検査方法：実際の状況に応じて、該当するサーバー管理者にご相談ください。

2.サーバーに疑わしいアカウントがあるかどうかを確認し、新しいアカウントを追加します。

検査方法：cmdウィンドウを開き、lusrmgr.mscコマンドを入力して、新しい/疑わしいアカウントがあるかどうか、新しいアカウントに管理者グループ（Administrators）があるかどうかを確認し、ある場合は、すぐに無効にするか削除します。

3.サーバー上に非表示または複製されたアカウントがあるかどうかを確認します。

検査方法：

a。レジストリを開き、管理者の対応するキー値を表示します。

b。D-Shield_web強制終了ツールを使用して、複製されたアカウントを検出する機能を統合します。

4.ログと組み合わせて、管理者のログイン時間とユーザー名に異常がないか確認してください。

検査方法：

a。Win+ Rを開いて実行し、「eventvwr.msc」と入力し、Enterキーを押して実行し、「イベントビューア」を開きます。

b。Windowsのログセーフをエクスポートし、Microsoftの公式ツールLogParserを使用して分析します。

2.異常なポートとプロセスを確認します

1.リモート接続または疑わしい接続があるかどうか、ポート接続を確認します。

検査方法：

a。netstat -anoコマンドを使用して、現在のネットワーク接続を表示し、疑わしいESTABLISHEDを見つけます

b。netstatコマンドによって検出されたPID番号に従って、プロセスはtasklistコマンドによって検出されます。 tasklist | findstr "PID"

2.プロセス

検査方法：

a、開始-実行-msinfo32コマンドを入力し、[ソフトウェア環境-タスクの実行]をクリックすると、プロセスルート、プロセスID、ファイル作成日、開始時刻などのプロセスの詳細を表示できます。

b。D-Shield_web強制終了ツールを開き、プロセスを表示して、署名情報のないプロセスに注意を払います。

c。Microsoftが公式に提供しているProcessExplorerなどのツールを使用してトラブルシューティングを行います。

d。疑わしいプロセスとそのサブプロセスを確認します。次のことを確認できます。
```
  没有签名验证信息的进程
  没有描述信息的进程
  进程的属主
  进程的路径是否合法
  CPU 或内存资源占用长时间过高的进程
```

3.ヒント：

a。ポートに対応するPIDを確認します。netstat -ano | findstr "port"

b。プロセスに対応するPIDを表示します：タスクマネージャー-表示-選択列-PIDまたは tasklist | findstr "PID"

c。プロセスに対応するプログラムの場所を表示します。

タスクマネージャー-対応するプロセスを選択します-右クリックしてファイルの場所を開きます

実行入力wmic、cmdインターフェース入力process

d。tasklist /svcプロセス-PID-サービス

e。Windowsサービスに対応するポートを確認します。

％systemroot％/ system32 / drivers / etc / services（通常、％systemroot％はC：\ Windowsパスです）

3つ目は、スタートアップアイテム、スケジュールされたタスク、およびサービスを確認する

1.サーバーに異常な起動項目がないか確認します。

検査方法：

a。サーバーにログインし、[スタート]> [すべてのプログラム]> [スタート]をクリックします。デフォルトでは、このディレクトリは空のディレクトリです。このディレクトリにビジネス以外のプログラムがあるかどうかを確認してください。
b。[スタート]メニュー> [msconfigファイル名を指定して実行]をクリックし、Enterキーを押して、異常な名前のスタートアップアイテムがあるかどうかを確認します。ある場合は、異常な名前のスタートアップアイテムのチェックを外し、コマンドに表示されるパスに移動してファイルを削除します。
c。[スタート]> [ファイル名を指定して実行]をクリックし、regeditと入力してレジストリを開き、スタートアップアイテムが正常かどうかを確認し、次の3つのレジストリエントリに特に注意してください。
```
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
```

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Runonce


检查右侧是否有启动异常的项目，如有请删除，并建议安装杀毒软件进行病毒查杀，清除残留病毒或木马。

d、利用安全软件查看启动项、开机时间管理等。

e、组策略，运行 `gpedit.msc`


2、检查计划任务

* 检查方法：

a、单击【开始】>【设置】>【控制面板】>【任务计划】，查看计划任务属性，便可以发现木马文件的路径。

b、单击【开始】>【运行】；输入 `cmd`，然后输入 `at`，检查计算机与网络上的其它计算机之间的会话或计划任务，如有，则确认是否为正常连接。

3、服务自启动

* 检查方法：单击【开始】>【运行】，输入 `services.msc`，注意服务状态和启动类型，检查是否有异常服务。

#### 四、 检查系统相关信息

1、查看系统版本以及补丁信息

* 检查方法：单击【开始】>【运行】，输入 `systeminfo`，查看系统信息。

2、查找可疑目录及文件

* 检查方法：

a、 查看用户目录，新建账号会在这个目录生成一个用户目录，查看是否有新建用户目录。

Window 2003バージョンC：\ Documents and Settings
Window 2008R2以降のバージョンC：\ Users \


b、单击【开始】>【运行】，输入 `%UserProfile%\Recent`，分析最近打开分析可疑文件。

c、在服务器各个目录，可根据文件夹内文件列表时间进行排序，查找可疑文件。

d、回收站、浏览器下载目录、浏览器历史记录

e、修改时间在创建时间之前的为可疑文件

3、发现并得到 WebShell、远控木马的创建时间，如何找出同一时间范围内创建的文件？

a、利用 [Registry Workshop](http://www.torchsoft.com/en/rw_information.html) 注册表编辑器的搜索功能，可以找到最后写入时间区间的文件。
b、利用计算机自带文件搜索功能，指定修改时间进行搜索。



#### 五、 自动化查杀

* 病毒查杀

* 检查方法：下载安全软件，更新最新病毒库，进行全盘扫描。

* webshell查杀

* 检查方法：选择具体站点路径进行webshell查杀，建议使用两款 WebShell 查杀工具同时查杀，可相互补充规则库的不足。



#### 六、日志分析

系统日志

* 分析方法：

a、前提：开启审核策略，若日后系统出现故障、安全事故则可以查看系统的日志文件，排除故障，追查入侵者的信息等。

b、Win+R 打开运行，输入 "eventvwr.msc"，回车运行，打开"事件查看器"。

C、导出应用程序日志、安全日志、系统日志，利用 [Log Parser](https://www.microsoft.com/en-us/download/details.aspx?id=24659) 进行分析。



Web 访问日志

* 分析方法：

a、找到中间件的web日志，打包到本地方便进行分析。

b、推荐工具：Windows 下，推荐用 EmEditor 进行日志分析，支持大文本，搜索效率还不错。Linux 下，使用 Shell 命令组合查询分析。

### 工具篇

#### 病毒分析 

PCHunter：http://www.xuetr.com

火绒剑：https://www.huorong.cn

Process Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

processhacker：https://processhacker.sourceforge.io/downloads.php

autoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

OTL：https://www.bleepingcomputer.com/download/otl/

SysInspector：http://download.eset.com.cn/download/detail/?product=sysinspector



#### 病毒查杀

卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe   （推荐理由：绿色版、最新病毒库）

大蜘蛛：http://free.drweb.ru/download+cureit+free（推荐理由：扫描快、一次下载只能用1周，更新病毒库）

火绒安全软件：https://www.huorong.cn

360杀毒：http://sd.360.cn/download_center.html



#### 病毒动态

CVERC-国家计算机病毒应急处理中心：http://www.cverc.org.cn

微步在线威胁情报社区：https://x.threatbook.cn

火绒安全论坛：http://bbs.huorong.cn/forum-59-1.html

爱毒霸社区：http://bbs.duba.net

腾讯电脑管家：http://bbs.guanjia.qq.com/forum-2-1.html



#### 在线病毒扫描网站

Virustotal：https://www.virustotal.com

Virscan：http://www.virscan.org

腾讯哈勃分析系统：https://habo.qq.com

Jotti 恶意软件扫描系统：https://virusscan.jotti.org



#### webshell查杀

D盾_Web查杀：http://www.d99net.net/index.asp

河马 WebShell 查杀：http://www.shellpub.com