Windows系統(tǒng)安全排查
異常用戶與用戶組檢測(cè)
通過(guò)計(jì)算機(jī)管理控制臺(tái)(右鍵“計(jì)算機(jī)”→“管理”→“本地用戶和組”)深入審查用戶及用戶組配置�����。若發(fā)現(xiàn)用戶或用戶組名稱帶有$符號(hào)(如Administrator$�、Guest$)���,此類隱藏屬性通常為惡意入侵者用于隱蔽操作的后門痕跡��,需立即溯源并清除。同時(shí)關(guān)注用戶組成員權(quán)限�,檢查是否存在異常授權(quán)的非管理員用戶被加入高權(quán)限組(如Administrators���、Remote Desktop Users)�����。
異常進(jìn)程深度分析
任務(wù)管理器是進(jìn)程監(jiān)控的核心工具,切換至“詳細(xì)信息”標(biāo)簽頁(yè)��,需綜合考量進(jìn)程名稱�、PID值、運(yùn)行用戶及資源占用情況。重點(diǎn)排查兩類異常:一是數(shù)字命名的可執(zhí)行文件(如12345.exe、98765.exe),此類進(jìn)程常為Webshell后門或遠(yuǎn)控程序���;二是位于臨時(shí)目錄(%TEMP%、%APPDATA%\Temp)且以System/NT AUTHORITY\SYSTEM權(quán)限運(yùn)行的進(jìn)程,合法系統(tǒng)進(jìn)程極少具備此類特征���。若發(fā)現(xiàn)phpstudy、Tomcat等開(kāi)發(fā)工具進(jìn)程衍生出非業(yè)務(wù)相關(guān)的子進(jìn)程,需高度警惕Web容器被入侵的風(fēng)險(xiǎn)�����。
系統(tǒng)目錄惡意文件掃描
聚焦系統(tǒng)核心目錄(C:\Windows�、C:\Windows\System32、C:\Windows\SysWOW64),采用文件屬性篩選(如隱藏�����、系統(tǒng)、只讀)結(jié)合時(shí)間排序(按修改時(shí)間倒序)的方式,定位非系統(tǒng)原生的腳本文件(.vbs����、.bat��、.ps1)或可執(zhí)行文件(.exe�����、.dll)�。特別關(guān)注文件名包含隨機(jī)字符����、無(wú)數(shù)字簽名或描述信息模糊的文件,此類文件多為惡意載荷或后門程序�?���?山柚④浌俜降腜rocess Monitor工具實(shí)時(shí)監(jiān)控文件創(chuàng)建行為��,捕捉可疑文件的生成過(guò)程�。
高危進(jìn)程資源占用監(jiān)控
持續(xù)監(jiān)控進(jìn)程CPU����、內(nèi)存及磁盤I/O資源占用,若發(fā)現(xiàn)某進(jìn)程異常消耗系統(tǒng)資源(如持續(xù)占用50%以上CPU)����,需核對(duì)進(jìn)程的描述信息����、公司簽名及路徑合法性�����。合法系統(tǒng)進(jìn)程(如svchost.exe�、explorer.exe)的資源占用通常保持穩(wěn)定���,若出現(xiàn)突發(fā)性峰值或持續(xù)高負(fù)載���,可能為加密貨幣挖礦程序或DDoS攻擊工具����。同時(shí)檢查進(jìn)程的命令行參數(shù)���,是否存在異常參數(shù)(如-base64����、-enc)或遠(yuǎn)程下載指令(如curl、bitsadmin)�。
Windows系統(tǒng)安全加固策略
從配置管理���、訪問(wèn)控制���、軟件管控�、防護(hù)部署四個(gè)維度構(gòu)建縱深防御體系:修改遠(yuǎn)程桌面協(xié)議(RDP)默認(rèn)端口(3389→非標(biāo)準(zhǔn)端口)��,禁用空會(huì)話連接���;實(shí)施強(qiáng)密碼策略(密碼長(zhǎng)度≥12位���,包含大小寫字母���、數(shù)字及特殊字符)����,禁用簡(jiǎn)單密碼(如123456�、admin)��;嚴(yán)格軟件安裝管控�,拒絕來(lái)源不明的破解版、綠色版軟件,優(yōu)先通過(guò)Microsoft Store或官方渠道獲取應(yīng)用程序����;部署終端安全防護(hù)�����,安裝Endpoint Protection并定期更新病毒庫(kù)及EDR(終端檢測(cè)與響應(yīng))規(guī)則;遵循最小權(quán)限原則�����,數(shù)據(jù)庫(kù)服務(wù)(MySQL�����、MSSQL)以普通用戶身份運(yùn)行���,避免使用system或管理員權(quán)限����;限制數(shù)據(jù)庫(kù)遠(yuǎn)程連接��,如需遠(yuǎn)程訪問(wèn)則通過(guò)IP白名單或VPN進(jìn)行管控��;及時(shí)應(yīng)用系統(tǒng)補(bǔ)丁,通過(guò)Windows Update或WSUS服務(wù)器每月至少進(jìn)行一次安全更新,重點(diǎn)修復(fù)MS系列高危漏洞。
Windows系統(tǒng)排查總結(jié)要點(diǎn)
驗(yàn)證本地用戶及用戶組無(wú)隱藏配置及異常授權(quán);通過(guò)任務(wù)管理器監(jiān)控進(jìn)程資源占用及異常命名/路徑行為�����;檢查系統(tǒng)目錄下是否存在惡意腳本或可執(zhí)行文件����;審查事件查看器(事件查看器→Windows日志→安全)中異常用戶登錄(如登錄失敗事件ID 4625�����、成功登錄ID 4624)及IP訪問(wèn)記錄���;識(shí)別系統(tǒng)進(jìn)程PID范圍(0-999為合法系統(tǒng)進(jìn)程���,超出范圍需重點(diǎn)驗(yàn)證)��,結(jié)合進(jìn)程名與PID匹配度排查偽裝惡意程序。
Linux系統(tǒng)安全排查
異常進(jìn)程實(shí)時(shí)監(jiān)控
利用top、htop或ps aux --sort=-%cpu命令按CPU占用率排序,監(jiān)控進(jìn)程資源消耗情況�。重點(diǎn)關(guān)注三類異常:一是進(jìn)程名無(wú)明確業(yè)務(wù)含義(如如1��、2、3等數(shù)字命名)或偽裝成系統(tǒng)服務(wù)(如偽裝為sshd��、kernel的進(jìn)程)����;二是CPU占用率持續(xù)居高不下(如長(zhǎng)期超過(guò)80%)且進(jìn)程名為系統(tǒng)常見(jiàn)名(如httpd、nginx)��,需結(jié)合進(jìn)程命令行參數(shù)判斷是否為挖礦程序(如包含stratum+tcp�、xmr等關(guān)鍵詞);三是存在大量僵尸進(jìn)程(狀態(tài)為Z)或孤兒進(jìn)程(父PID為1)�����,可能表明系統(tǒng)存在進(jìn)程管理漏洞或惡意程序����。
系統(tǒng)目錄異常文件檢測(cè)
掃描Linux關(guān)鍵目錄(/tmp、/var/tmp��、/usr/bin�����、/usr/sbin、/bin�、/sbin�、/dev/shm)�,排查是否存在類似Windows風(fēng)格的異常路徑(如/C:/Windows/、/Program Files/)或非業(yè)務(wù)相關(guān)的可執(zhí)行文件�。采用find命令輔助檢測(cè):`find / -name ".exe" -type f 2>/dev/null` 查找所有.exe文件�����;`find / -name "." -mtime -7 -type f 2>/dev/null` 查看近7天修改的文件���,重點(diǎn)關(guān)注權(quán)限為777或所有者為非root的文件���。若發(fā)現(xiàn)Web目錄(如/var/www��、/home/wwwroot)存在陌生可執(zhí)行文件,需結(jié)合Web日志分析是否為Webshell后門��。
定時(shí)任務(wù)(Crontab)異常檢查
執(zhí)行`crontab -l`查看當(dāng)前用戶定時(shí)任務(wù)����,同時(shí)檢查系統(tǒng)級(jí)定時(shí)任務(wù):`cat /etc/crontab`、`ls /etc/cron.hourly/`���、`ls /etc/cron.daily/`、`ls /etc/cron.weekly/`���、`ls /etc/cron.monthly/`。重點(diǎn)關(guān)注異常的執(zhí)行計(jì)劃(如` /bin/rm -rf /home/wwwroot`)或非業(yè)務(wù)相關(guān)的腳本路徑��,特別留意被重定向到/dev/null的隱蔽任務(wù)(如` /usr/bin/python -c "import base64..." > /dev/null 2>&1`)�����。檢查用戶個(gè)人定時(shí)任務(wù)目錄(如/var/spool/cron/root、/var/spool/cron/用戶名)�,排查是否存在未授權(quán)的惡意任務(wù)���。
系統(tǒng)服務(wù)啟動(dòng)項(xiàng)檢測(cè)
檢查/etc/init.d/目錄下的服務(wù)腳本����,使用`ll -t /etc/init.d/ | head -n 10`按修改時(shí)間排序��,優(yōu)先審查近期新增或權(quán)限異常(如所有者非root�、具有777權(quán)限)的文件���。通過(guò)`cat /etc/init.d/服務(wù)名`查看腳本內(nèi)容�,識(shí)別是否包含惡意命令(如下載挖礦程序、反彈shell)或非正常的啟動(dòng)邏輯�。同時(shí)檢查/etc/rc.local文件(或通過(guò)systemctl status rc-local檢查服務(wù)狀態(tài))�,排查文件末尾是否存在異常的啟動(dòng)命令(如`nohup /tmp/miner &`)或腳本調(diào)用�����,確保所有開(kāi)機(jī)自啟項(xiàng)均為合法業(yè)務(wù)需求��。
用戶與權(quán)限合規(guī)審查
使用`cat /etc/passwd | awk -F: '{print $1, $3, $7}'`查看用戶列表,重點(diǎn)關(guān)注UID大于1000的非系統(tǒng)用戶(UID小于1000通常為系統(tǒng)內(nèi)置用戶),結(jié)合登錄shell(如/bin/bash vs /sbin/nologin)判斷是否存在異常賬戶。若發(fā)現(xiàn)UID為0的非root用戶或具有sudo權(quán)限的異常用戶,立即鎖定賬戶并排查權(quán)限范圍。檢查/etc/group文件,識(shí)別是否存在異常組或用戶被加入高權(quán)限組(如wheel���、sudo),使用`sudo -l -U 用戶名`查看用戶sudo權(quán)限配置,確保遵循最小權(quán)限原則�。
系統(tǒng)命令日志審計(jì)
利用系統(tǒng)命令進(jìn)行多維度排查:`history | tail -n 100`查看近期命令歷史�,識(shí)別非常規(guī)操作(如wget/curl下載未知文件�����、chmod 777修改權(quán)限)�;`cat /var/log/secure | grep "Failed password"`分析SSH登錄失敗日志��,排查暴力破解攻擊���;`cat /var/log/messages | grep -i "error\|warning"`檢查系統(tǒng)錯(cuò)誤日志,定位異常服務(wù)狀態(tài);`who`實(shí)時(shí)監(jiān)控當(dāng)前在線用戶���,結(jié)合`last /var/log/wtmp`分析最近登錄記錄(IP、時(shí)間、終端)�����;`screen -ls`排查異常會(huì)話����,防止隱蔽的遠(yuǎn)程操作。對(duì)于生產(chǎn)環(huán)境服務(wù)器��,建議部署auditd系統(tǒng)審計(jì)服務(wù),記錄所有命令執(zhí)行及文件訪問(wèn)行為。
Linux系統(tǒng)安全加固建議
遵循Linux安全基線規(guī)范:拒絕來(lái)源不明的一鍵安裝腳本(如LAMP/NMP一鍵包)���,避免引入未知漏洞;采用普通用戶(非root)進(jìn)行日常操作,必要權(quán)限通過(guò)sudo授權(quán),并在sudoers文件中限制命令白名單�;實(shí)施強(qiáng)密碼策略��,推薦使用SSH密鑰認(rèn)證(禁用密碼登錄),密鑰長(zhǎng)度≥2048位;修改SSH服務(wù)默認(rèn)端口(22→非標(biāo)準(zhǔn)端口)��,配置/etc/ssh/sshd.conf中的Port��、PermitRootLogin no��、PasswordAuthentication no等參數(shù);關(guān)閉數(shù)據(jù)庫(kù)遠(yuǎn)程訪問(wèn)功能(如MySQL的skip-networking)�,若需遠(yuǎn)程則通過(guò)SSH隧道或VPN進(jìn)行訪問(wèn)限制��;定期清理無(wú)用賬戶及權(quán)限,使用`userdel -r 用戶名`刪除廢棄用戶��;定期備份重要數(shù)據(jù)�����,采用rsync或rclone實(shí)現(xiàn)異地備份�����。
Linux系統(tǒng)排查總結(jié)要點(diǎn)
檢查/etc/init.d/目錄文件完整性及權(quán)限設(shè)置���,排查異常服務(wù)腳本��;通過(guò)crontab -l及系統(tǒng)級(jí)定時(shí)任務(wù)文件驗(yàn)證無(wú)惡意計(jì)劃任務(wù)��;利用top/htop監(jiān)控進(jìn)程資源占用及可疑命名/路徑進(jìn)程;分析/var/log/wtmp及/var/log/secure記錄�,排查異常IP登錄及暴力破解行為���;識(shí)別系統(tǒng)進(jìn)程PID范圍(0-299為合法系統(tǒng)進(jìn)程���,超出范圍需重點(diǎn)驗(yàn)證)��,結(jié)合進(jìn)程命令行參數(shù)判斷是否為惡意程序。
跨平臺(tái)安全實(shí)踐經(jīng)驗(yàn)
進(jìn)程ID(PID)識(shí)別準(zhǔn)則
Windows系統(tǒng)合法系統(tǒng)進(jìn)程PID值通常為0-999�,Linux系統(tǒng)為0-299�����。若發(fā)現(xiàn)進(jìn)程名看似系統(tǒng)組件(如svchost.exe、systemd)但PID超出正常范圍,需高度警惕偽裝惡意程序的可能性�。例如��,Windows中PID為1500的“svchost.exe”或Linux中PID為300的“systemd”,均需通過(guò)進(jìn)程路徑、數(shù)字簽名及行為分析進(jìn)一步驗(yàn)證��。掌握操作系統(tǒng)常見(jiàn)進(jìn)程名稱及功能特征(如Windows的explorer.exe�、lsass.exe,Linux的sshd�����、cron�、networkmanager),是快速識(shí)別異常進(jìn)程的基礎(chǔ)能力��。
惡意代碼檢測(cè)通用方法
無(wú)論是Windows還是Linux系統(tǒng)�,惡意代碼檢測(cè)均需結(jié)合靜態(tài)特征與動(dòng)態(tài)行為分析���。靜態(tài)層面�,通過(guò)file命令查看文件類型(如ELF 64-bit LSB executable、PE32+ executable)��,strings提取字符串特征(如域名���、IP地址�、加密算法標(biāo)識(shí));動(dòng)態(tài)層面����,使用strace(Linux)或Process Monitor(Windows)監(jiān)控進(jìn)程的系統(tǒng)調(diào)用(如文件讀寫�、網(wǎng)絡(luò)連接�����、注冊(cè)表訪問(wèn))����,識(shí)別異常行為(如頻繁連接境外IP、修改系統(tǒng)關(guān)鍵文件)����。對(duì)于Web環(huán)境�����,可借助Webshell查殺工具(如河馬、D盾)掃描網(wǎng)站目錄���,識(shí)別隱藏的后門文件。
