应急响应之系统排查

Windows系统

查看本地用户和组

普通用户：win+r 输入lusrmgr.msc
隐藏用户：win+r 输入regedit查看注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

系统日志分析

win+r 输入eventvwr.msc 查看windows日志

网络与端口分析

win+r 输入netstat -ano 查看活动连接

恶意进程分析

win+r 输入tasklist 查看进程列表

自启动分析

win+r 输入msconfig 查看自启动服务

检查计划任务

win+r 输入schtasks

分析最近打开的文件

win+r 输入%UserProfile%\Recent

Linux系统

历史执行命令记录

history

检查定时任务

ls /etc/cron*

查看用户

cat /etc/passwd # 查看用户信息文件
cat /etc/shadow # 查看影子文件
awk -F: '$3==0{print $1}' /etc/passwd
cat /etc/passwd | grep x:0
# 查看系统是否还存在其他的特权账户，uid为0，默认系统只存在root一个特权账户

查看登录以及重启记录

last

网络与端口分析

netstat -alntp

查看进程

ps -aux

top #按b可根据内存使用情况排序

top -p pid #监控指定程序

查看自启程序

ls -alt /etc/init.d/

systemctl list-unit-files | grep enabled

登录日志

统计爆破主机root账号的失败次数及ip：

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

查看成功登录的日期、用户名、IP：

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'