Windows服务器入侵检测排查方法( 二 ) _入侵检测

5）查看当前系统用户的会话
使用query user查看当前系统的会话，比如查看是否有人使用远程终端登录服务器：

文章插图

logoff //踢出该用户

文章插图

6）查看systeminfo信息，系统版本以及补丁信息

文章插图

例如系统的远程命令执行漏洞 MS17-010（永恒之蓝）、MS08-067、MS09-001等。若进行漏洞比对，建议自建使用 Windows-Privilege-Escalation-Exploit：

文章插图

Github 源码：https://github.com/neargle/win-powerup-exp-index
7）结合日志，查看管理员登录时间、用户名是否存在异常
a）Win+R打开运行，输入"eventvwr.msc" ，回车运行，打开"事件查看器" 。
b）导出Windows日志--安全，利用Log Parser进行分析。

文章插图

四、工具排查1）PC Hunter
PC Hunter是一个Windows系统信息查看软件
下载地址：

文章插图

功能列表如下：

文章插图

文章插图

PC Hunter 数字签名颜色说明：
黑色：微软签名的驱动程序；
蓝色：非微软签名的驱动程序；
红色：驱动检测到的可疑对象，隐藏服务、进程、被挂钩函数；
注：最简单的使用方法，根据颜色去辨识?可疑进程，隐藏服务、被挂钩函数：红色，然后根据程序右键功能去定位具体的程序和移除功能。根据可疑的进程名等进行互联网信息检索然后统一清除并关联注册表。
2）ProcessExplorer
Windows系统和应用程序监视工具：

文章插图

3）Microsoft Network Monitor
一款轻量级网络协议数据分析工具：

文章插图

五、日志排查1）Windows登陆日志排查
①打开事件管理器
【开始】→【管理工具】→【事件查看】
【开始】→【运行】→【eventvwr】

文章插图

②主要分析安全日志，可以借助自带的筛选功能

文章插图

文章插图

可以把日志导出为文本格式，然后使用 notepad++ 打开，使用正则模式去匹配远程登录过的IP地址，在界定事件日期范围的基础。
正则：
((?:(?:25[0-5]|2[0-4]d|((1d{2})|([1-9]?d))).){3}(?:25[0-5]|2[0-4]d|((1d{2})|([1-9]?d))))

文章插图

这样就可以把界定事件日期事件快速检索出来进行下一步分析。
③WEB访问日志
a)找到中间件的web日志，打包到本地方便进行分析;
b)推荐工具：Window下，推荐用 EmEditor 进行日志分析，支持大文本，搜索效率还不错。
webshell查杀工具有以下几种：
D盾_Web查杀：http://www.d99net.net/index.asp
河马webshell查杀：http://www.shellpub.com
深信服Webshell网站后门检测工具：
Safe3：http://www.uusec.com/webshell.zip