滲透測試02------windows日常巡檢,應急響應等總結
一:日常巡檢:
1.日誌:
a:事件查看器中,查看日誌。應用程序,安全性,系統,觀察是否被入侵。
b:查看歷史記錄在c:\DOCUMENTS AND SETTINGS
c:修改後門賬號密碼。進去查看歷史瀏覽網頁等一些東西
2.進程,端口,網絡連接,服務:
a:tasklisk 查看進程
b:netstatt -an 查看端口連接狀態
c:使用一些安全工具,分析後臺木馬等
d:在服務中,查看是否插入了系統進程。。
4.cpu,內存,流量:
可能用服務器發動DDOS攻擊,或者掃描其它服務器,導致cpu,內存達到峰值
5.用戶:
a:在cmd中使用net user
b:管理,本地用戶組,用戶。觀察裏面用戶賬號
c:在註冊表:HKEY_LOCAL_MACHINE --> software --> microsoft --> windows nt -->
currentversion --> profilelist中 快速檢測以前存在過哪些賬號
d:在註冊表中查看安裝軟件記錄HKEY_LOCAL_MACHINE --> software --> microsoft --> windows nt --> currentversion -->uninstall中
6.以及其他一些細節
a:攻擊者軟件基本放在在c:\windows中,搜索*.exe來排查(顯示系統屬性文件,有
可能用attrib來更改屬性)
b:禁用掉攻擊者可能利用的系統工具。如net,attrib等
c:在註冊表裏查看啟動項
二:應急響應報告:
框架大概:
目錄
1 概況
2 工作描述
2.1 網絡和服務器情況
2.2 被攻擊情況
2.3
2.3.1 C盤存在黑客上傳的文件
2.3.2 對前段部分web網站http日誌進行分析
2.3.3 查看系統隱藏進程
2.3.4 對系統進行sniffer抓包
2.3.5 對服務器安全日誌進行分析
3 綜合分析
4 改進建議
三:簡單預案方法:
1. 迅速隔離感染病毒的系統
2. 如果懷疑是病毒,則應該盡快將奧組委的網絡和外網隔離。在斷開與外網的連接之前,與LAN 、WAN的管理員一起確定最好的方案;
3. 盡快通知信息安全管理小組,如果10分鐘內不能聯系到信息安全管理小組,則聯系備份人員;
4. 在一小時之內通知信息安全分管領導,如果必要,信息安全分管領導應該向上級匯報;
5. 在2小時之內通知相關的主機管理員/網絡管理員
6. 在等待主機管理員/網絡管理員/過程中,嘗試去追溯攻擊來源,並確定究竟有多少系統受到影響。備份系統的日誌文件和其他相關的文件;
7. 信息安全管理小組決定下一步應該做的工作,並分配做相應工作的人員;
8. 如果必要的話,信息安全管理小組應該向上級匯報,並在安全調查的基礎上寫出事件總結報告,送交相應的管理人員。
本文出自 “Tail__” 博客,請務必保留此出處http://tail123.blog.51cto.com/12270213/1928769
滲透測試02------windows日常巡檢,應急響應等總結