GNU/Linux >> Znalost Linux >  >> Linux

Prozkoumejte napadený server Windows

Tento článek vám pomůže porozumět a identifikovat náznaky napadeného serveru Windows®. Toto je dokument na velmi vysoké úrovni, který můžete použít jako zdroj při sledování potenciálního problému spíše než při řešení napadeného serveru.

Typy kompromisů

Tento článek se zabývá dvěma typy kompromisů:na úrovni aplikace a na úrovni systému nebo na úrovni kořene. Ty jsou poměrně závažné a často vyžadují robustní plán obnovy po katastrofě, aby se zmírnil.

Kompromis na úrovni aplikace

Ke kompromisu na úrovni aplikace dochází, když je ohrožena služba nebo uživatel nízké úrovně. Mezi typické kompromisy v této skupině patří následující problémy:

  • Znečištění webu
  • FTP značkování
  • Manipulace se soubory FTP
  • Vložení SQL

Tento typ kompromitace může změnit data na serveru. Nikdy však nedosáhnou administrativního nebo kořenového přístupu na serveru. V těchto případech můžete být schopni identifikovat a zabezpečit zranitelnost. Zabezpečení zranitelnosti na úrovni aplikace může zahrnovat odebrání přístupu pro zápis anonymnímu uživateli webu, odstranění virů ze serveru nebo zabezpečení aplikace prostřednictvím dostupných oprav. Chcete-li opravit jakékoli změněné soubory, musíte provést obnovu ze zálohy.

Administrativní, systémový nebo kořenový kompromis

K tomuto typu kompromitace dochází, když útočník získá administrativní přístup k systému a může zahrnovat následující problémy:

  • Prolomená služba běžící jako System , LocalService nebo Administrative uživatel
  • Prolomený uživatelský účet s právy správce
  • Přístup prostřednictvím neadministrativního uživatele do umístění omezeného na Administrativní uživatele (jako jsou systémové adresáře atd.)
  • Virus nalezen v systémovém nebo administrativním adresáři
  • Viditelně škodlivá odchozí síťová aktivita
  • Injekce SQL (zahrnuje provádění příkazů)

Důležité: Když útočník získá tuto úroveň přístupu, nemůžete určit žádné změny, ke kterým došlo během kompromitace.

Nástroje systému Windows, které můžete použít k hledání kompromisu

  • Seznam úkolů: Nástroj příkazového řádku poskytující podrobnosti o procesech a službách v systému
  • Správce úloh: Grafický nástroj poskytující podrobnosti o procesech, statistikách zdrojů a síťové aktivitě v systému
  • Správce zdrojů: Grafický nástroj podobný Správci úloh ale poskytuje více podrobností o využití zdrojů

Prozkoumejte napadený server

Chcete-li prozkoumat možnou kompromisní situaci, proveďte následující úkoly popsané v této části:

  • Identifikujte kompromis
  • Zkontrolujte procesy
  • Zkontrolujte služby
  • Zkontrolujte uživatele

Identifikujte kompromis

Častým příznakem je vysoké trvalé neočekávané využití šířky pásma. Vzhledem k tomu, že útočníci obvykle kompromitují systémy, které na nich zamýšlejí provozovat síťovou službu, v systému může být spuštěna služba, takže naslouchání lichému portu může znamenat kompromitovaný server.

  • Chcete-li zkontrolovat síťová připojení pro TCP, spusťte následující příkaz:

    NetStat -naop 'TCP'

  • Chcete-li zkontrolovat síťová připojení pro UDP, spusťte následující příkaz:

    NetStat** -naop 'UDP'

  • Chcete-li spočítat konkrétní připojení, spusťte jeden z následujících příkazů:

    NetStat** -naop 'TCP'

find /c ":<port>"

Poznámka: Sysinternal TCP view nabízí alternativní grafické nástroje pro tuto recenzi.

Zkontrolujte procesy

Identifikujte jakýkoli podezřelý proces. Na napadeném serveru pravděpodobně běží jeden nebo více škodlivých procesů. Někdy je můžete identifikovat, protože obsahují překlepy, gramatické chyby nebo podezřelý popis.

  • Chcete-li zobrazit seznam procesů spuštěných v systému, spusťte následující příkaz:

    Tasklist /FI "USERNAME ne NT AUTHORITY\SYSTEM" /FI "STATUS eq running"

  • Chcete-li zobrazit seznam procesů definovaných jako služba, spusťte následující příkaz:

    Tasklist /svc

  • Chcete-li zobrazit snímek aktuálně běžícího procesu se stejným výstupem jako seznam procesů správce úloh, spusťte následující příkaz:

    Get-Process

  • Chcete-li vypsat procesy a uživatele, pod kterým jsou spuštěny, spusťte jeden z následujících příkazů:

    gwmi win32_process

select Name, @{l="User name";e={$_.getowner().user}}

Zkontrolujte služby

Hledejte překlepy, gramatické chyby nebo podezřelé popisy. Pokud služba vypadá sporně, prozkoumejte vlastnosti a závislosti. Také zjistěte, zda je soubor spustitelný. Použijte GUI služby GUI pro zobrazení běžících služeb.

  • Chcete-li zobrazit spuštěné služby, spusťte následující příkaz:

    get-service | where-object {$_.Status -eq "Running"}

Zkontrolujte uživatele

Chcete-li zjistit, zda je server kompromitován, a rychle identifikovat špatnou konfiguraci, zkontrolujte základní uživatelské účty.

  • Chcete-li identifikovat neznámé nebo nezvykle pojmenované uživatelské účty podle seznamu nakonfigurovaných uživatelů, spusťte následující příkaz:

    net user

  • Chcete-li identifikovat neznámé uživatele v místní skupině Administrators podle seznamu nakonfigurovaných správců, spusťte následující příkaz:

    net localgroup Administrators

  • Chcete-li zjistit, zda je povolen účet hosta a zda je ve skupině Administrators, spusťte následující příkaz:

    net user guest

Nástroje dostupné od Microsoft Sysinternals

Další informace naleznete v následujících zdrojích:

  • Dokumentace pro Sysinternals
  • Živý odkaz na sysinternal nástroje
  • Sophos AntiRootkit

Pomocí karty Zpětná vazba můžete přidat komentáře nebo položit otázky. Můžete s námi také zahájit konverzaci.


Linux

  1. DotNetPanel Windows Hosting

  2. Přidání IP adresy na Windows Server

  3. Nainstalujte službu IIS v systému Windows 2012

  1. Nainstalujte Nginx na Windows

  2. Prozkoumejte napadené servery

  3. Zkoumání kompromitace kryptoměnového malwaru na serveru Windows

  1. Připravte se na migraci serveru Windows

  2. Pomalé přihlašování do Windows

  3. Odstraňování problémů s nefunkčním cloudovým serverem Windows