江苏住房建设厅网站,合肥高端网站建设设计公司,沭阳哪里可以做网站,wordpress固定连接设置文件文章目录 日志分析web日志windows系统日志 文件排查进程排查新增、隐藏账号排查启动项/服务/计划任务排查工具 日志分析
web日志
dirpro扫描目录#xff0c;sqlmap扫描dvwa
Python dirpro -u http://192.168.52.129 -b
sqlmap -u http://192.168.52.129/dvwa/vulnera… 文章目录 日志分析web日志windows系统日志 文件排查进程排查新增、隐藏账号排查启动项/服务/计划任务排查工具 日志分析
web日志
dirpro扫描目录sqlmap扫描dvwa
Python dirpro -u http://192.168.52.129 -b
sqlmap -u http://192.168.52.129/dvwa/vulnerabilities/sqli/?id1SubmitSubmit# --cookiePHPSESSIDbs8kg7ou7ru6dj4auppq32m663;securitylow --dbs使用星图对日志文件进行分析发现存在漏洞攻击行为信息具体可视化强。 windows系统日志
日志位置
windows 2000 专业版 /windows Server2003/windows XP
系统日志 C:\Windows\System32\config\SysEvent.evt
安全性日志 C:\Windows\System32\config\SecEvent.evt
应用程序日志 C:\Windows\System32\config\AppEvent.evtVista/win7/win8/win10/winser2008 以上
目录 %SystemRoot%\System32\Winevt\Logs\
系统日志 %SystemRoot%\System32\Winevt\Logs\System.evtx
安全性日志 %SystemRoot%\System32\Winevt\Logs\Security.evtx
应用程序日志 %SystemRoot%\System32\Winevt\Logs\Application.evtx事件id
事件 ID (旧版本)事件 ID (新版本)描述事件日志5284624成功登录安全5294625失败登录安全6804776成功 / 失败的账户认证安全6244720创建用户安全6364732添加用户到启用安全性的本地组中安全6324728添加用户到启用安全性的全局组中安全29347030服务创建错误系统29447040IPSEC 服务的启动类型已从禁用更改为自动启动系统29497045服务创建系统
日志清除相关
事件事件 ID事件级别事件日志事件来源事件日志服务关闭1100信息安全EventLog事件日志被清除104信息系统EventLog事件日志被清除1102信息安全EventLog
登录成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID SELECT * FROM Security.evtx where EventID4624指定登录时间范围的事件
LogParser.exe -i:EVT –o:DATAGRID SELECT * FROM Security.evtx where TimeGenerated2018-06-19 23:32:11 and TimeGenerated2018-06-20 23:34:00 and EventID4624提取登录成功的用户名和IP
LogParser.exe -i:EVT –o:DATAGRID SELECT EXTRACT_TOKEN(Message,13, ) as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,|) as Username,EXTRACT_TOKEN(Message,38, ) as Loginip FROM c:\Security.evtx where EventID4624登录失败的所有事件
LogParser.exe -i:EVT –o:DATAGRID SELECT * FROM Security.evtx where EventID4625文件排查
排查的几个点
回收站、浏览器下载记录、浏览器历史记录时间排序查看最新的文件修改时间在创建时间之前的文件
temp (tmp) 相关目录
C:\Windows\TempRecent 文件 Recent 存储最近打开的文件的快捷方式 %UserProfile%\Recent
C:\Documents and Settings\test\Recent
C:\Users\test.WIN10\Recent预读取文件查看
C:\Windows\appcompat\Programs
查看工具 winprefetchview粘滞键exe
查看C:\Windows\System32\下的sethc.exe文件的创建、修改时间是否正常如下图一般情况下系统文件的创建时间与修改时间应相同sethc的创建时间与修改时间不同可确定sethc已被替换成后门文件。由于攻击者可修改文件时间上述简单粗暴的判断方式可能不靠谱可将sethc拷贝出来、上传至VT检测危害。
攻击日期内新增的文件
forfiles /m *.exe /d 2023/10/9 /s /c cmd /c echo path fdate ftime 2 nullwebshell
河马查杀进程排查
思路重点检查没有厂商名字、没有签名验证信息、没有描述信息、CPU 或内存资源占用长时间过高的进程。检查可疑进程的属主、路径、参数是否合法。再分析这些进程加载了什么dll、使用了什么模块分析是否存在异常从而判断该进程是否为一个恶意的进程。
1查看端口得到PID
netstat -nao
netstat -ano | findstr ESTABLISHED2根据PID查看进程对应的程序名称
tasklist /V | findstr PID3杀掉进程
taskkill /PID 3876 /F
wmic process where namemysqld.exe delete
wmic process where processid3876 call terminate发现异常文件先放进检测箱里面发现异常连接先放在情报社区
https://www.virustotal.com/gui/
https://x.threatbook.com/新增、隐藏账号排查
命令行
net user
lusrmgr.msc
net localgroup Administrators分析安全日志
LogParser.exe -i:EVT –o:DATAGRID SELECT * FROM Security.evtx where TimeGenerated2023-10-09 23:32:11 and TimeGenerated2023-10-10 23:34:00 and EventID4720分析注册表
HKLM\SAM\SAM\Domains\Account\Users\Names正常情况下上述路径的SAM权限仅system用户可查看需要给administrator用户授权才能打开完整路径。对SAM右键、给administator用户添加完全控制权限 启动项/服务/计划任务排查
注册表启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce检测是否被映像劫持
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
检查是否存在Debugger且与exe文件名不一致组策略
gpedit.msc
依次选择 【计算机配置】【Windows 设置】【脚本】【启动】 系统配置的启动项
msconfig
开机启动项文件夹
C:\Users\xxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup服务排查
services.msc查看计划或定时任务
C:\Windows\System32\Tasks\
C:\Windows\SysWOW64\Tasks\
C:\Windows\tasks\
taskschd.msc工具
火绒剑 yyds几乎包含上面的排查项autorunprocexp河马查杀LogParser.msiwinprefetchview-x64xingtu_full
autorun指南
1、登录Logon
此条目会扫描标准自动启动位置例如当前用户和所有用户的启动文件夹、(Startup)运行注册表(Run Registry)项和标准应用程序启动位置。
2、资源管理器Explorer
此条目显示Explorer shell 扩展、浏览器帮助对象、资源管理器工具栏、活动设置执行和 shell 执行挂钩。
3、IE浏览器Internet Explorer
此条目显示浏览器帮助程序对象(Browser Helper Objects)(BHO)、Internet Explorer工具栏和扩展。
4、计划任务Scheduled Tasks
任务(Task)计划程序任务配置为在引导或登录时启动。
5、服务Services
它显示所有配置为在系统启动时自动启动的Windows服务。
6、驱动Drivers
这将显示系统上注册的所有内核模式驱动程序但禁用的驱动程序除外。
7、已知DLLAppInit DLL
这有 Autoruns 显示注册为应用程序初始化DLL。
8、引导执行Boot Execute
在启动过程早期运行的本机映像与Windows映像相反。
9、镜像劫持Image Hijacks
图像文件执行选项和命令提示符自动启动。
10、应用初始化AppInit
显示注册为应用程序初始化DLL的DLL。
11、已知的 DLLKnown DLLs
这会报告 Windows 加载到引用它们的应用程序中的DLL的位置。(DLLs)
12、Winlogon win登录通知
显示注册登录事件的Winlogon通知的DLL 。(Shows DLLs)
13、Winsock 提供商Winsock Providers
显示已注册的Winsock 协议包括Winsock 服务提供程序。恶意软件(Malware)通常将自身安装为Winsock 服务提供商因为很少有工具可以删除它们。自动运行可以禁用它们但不能删除它们。
14、LSA 提供者LSA Providers
显示(Shows)注册本地安全机构(Local Security Authority)( LSA ) 身份验证、通知和安全包。
打印机监视器驱动程序Printer Monitor Drivers
显示加载到后台打印服务中的DLL 。(DLLs)恶意软件(Malware)已使用此支持自动启动自身。
15、侧边栏Sidebar Gadgets
显示 Windows 边栏小工具。
ck 服务提供程序。恶意软件(Malware)通常将自身安装为Winsock 服务提供商因为很少有工具可以删除它们。自动运行可以禁用它们但不能删除它们。
