windows服务器:
1. sever弱口令,远控端口
2. 查询可疑账号,新增账号(lusrmgr.msc)
3. 查询服务器存在隐藏克隆账号(D盾)
4. 集合日志eventver.msc查看事件管理器,用log parser分析
5. 检查端口,远程连接 netstat-ano 定位可疑ESTABLISHD 定位出PID,tasklist | findstr "PID"
6. 进程(无签名验证信息的,无描述信息,路径合法,CPU占用过高)
7. 启动项,计划任务,服务,(安全软件查看开机管理时间,启动项)sevrives.msc
8. 查看系统版本及补丁信息,查询可疑目录及文件(Run,RunOnce,Runservice,Runservices,log键值)
9. 自动化查杀,系统日志分析,应用进程日志分析,安全日志分析(4625登录失败)
10. 病毒分析(PC Hunter 火绒剑 process Explorer) 查杀(卡巴斯基,火绒)
LINUX服务器:
1. 用户信息文件/etc/passwd 用户影子文件 /etc/shadow
2. 查询特权用户,远程登录账户,awk
3. .bash_history,查看普通账号的历史命令
4. netstat 分析可以端口,IP,PID
5. PS分析进程 ps aux | grep pid
6. 开启启动,开机启动配置文件 关注etc/crontab是否存在恶意脚本
7. 查询日志 tail cat命令 (定位多少IP在爆破,爆破的字典,登录成功的日期,用户名,IP)
8. 工具查杀(chkrootkit rkhunter) webshell查杀(各大安全网站的查杀)
win和linux简单排查思路