内容纲要
注意、虚拟主机安全每周检查一次,每周天夜班人员检查完成登记情况周一早上汇报。
我司常用安装标记异常软件可以排除列表:
D盾 安全狗 星外 zabbix splunkd ossec-agen
检查指南如下:
一、检查非Windows自带服务
用到工具Autoruns下载地址:http://soft.landui.com/tools/Autoruns.zip
1、命令msconfig
命令services.msc打开服务管理,注重检查没有服务描述或者全英文没有规律的描述,服务名称没有规律,随机服务名的服务项,打开服务属性查看执行文件路劲加以判断,例如mysql服务没有任何描述就存在异常,路径查看exe文件路径是否为正常路径加以判断
利用工具排查例图需要关注目标service下标红部分
2、查看自动启动项
正常情况如下图若有其他项需检查具体程序
选中可以查看执行参数
3、开机自动启动检查
任务计划查看,是否存在除下图中的其他任务计划(目前虚拟主机存在自动备份,同步,删除三种任务计划)
二、异常进程检查
注重检查随机不规律的进程名,描述异常或者没有描述的进程名,CMD格式调用或一些纯色图标的进程,利用任务管理查看运行的进程路径
路径名称点下排下序通过查看异常路径的进程,不确定的截图留存
利用工具查看怀疑有异常的进程执行的过程,把鼠标移动到进程上查看,例如图中cmd执行的命令为正常的一个过程,若发现运行了其他非系统命令文件或者目录树调用异常的需要引起怀疑仔细排除
三、管理员组检查
查看命令:lusrmgr.msc找到组-查看administrators组正常用户如下
打开D盾工具克隆账户检测查看是否有提示异常
检查远程登录是否有异常登录IP,若出现非图中IP:103.47.83.109,116.55.241.39,116.55.246.33 和账号即为异常,立即上报。
四、安全软件检查
web端和系统两个部分,系统端有服务器安全狗和杀毒软件system center endpoint protection
1、检查杀毒软件是否存在异常隔离,安全规则 是否已经是最新,主要检查系统目录有异常文件被隔离,像如图中temp目录下的php临时文件,或安全狗目录的文件被隔离无需理会。
2、检查安全狗拦截日志查看一下
首先看安全狗是否正常开启防护,例如下图为未开启状态,未开启的直接开启无法开启的反馈给上级。
检查重要设置是否已经开启
检查以下几个类型日志是否存在拦截日志若有异常有入侵痕迹作记录立即上报,下图为测试的cmd命令成功安全狗被拦截的内容就列为异常
3、D盾拦截检查
检查D盾功能是否正有无拦截日志
若状态显示未安装的说明这台未使用D盾防火墙
4、防火墙检查
1、检查是否开放了非必要端口,除FTP被动模式开放了900-9010端端口,其他开放了一段端口范围的一律存在异常,根据使用规范运维人员不能私自开放端口,发现有异常的立即上报。
下图为测试开放的端口若发现这种情况的立即禁用并上报。
2、检查服务器远程端口外部是否可连
cmd命令行下输入:tasklist /svc
在输出的内容中查找svchost.exe进程下 TermService服务对应的PID
输入命令:netstat -ano
找到对应PID就能找到对应远程端口
默认情况下限制了指定IP登录 若发现外部端口可连接即为存在异常
五、异常关机检查
虚拟主机环境已经很成熟且运行稳定,在非母鸡故障和人为强制关机的情况下若出现异常关机多为程序导致蓝屏,此时需要仔细检查是否为黑客入侵提权执行溢出poc导致,若发现此关机情况立即上报。