服务器取证溯源

Windows 系统排查

1.系统日志检查

Windows事件查看器

工具：

LogonTracer：恶意登录日志工具

2.自启动检查

在注册表中将自启动文件导出:
reg export HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run c:\autorun.reg

3.环境变量检查

4.注册表检查

5.系统服务项检查

修改服务路径，实现权限维持

6.计划任务检查

方法一：程序➜附件➜系统工具➜任务计划程序
方法二：导出任务计划:schtasks /query /fo LIST /v > c:\schtasks.txt

7.系统账户检查

• 方法一：（可看到隐藏用户）
• 运行➜compmgmt.msc➜本地用户和组
• 方法二：（看不到隐藏用户）
• net user 列出系统用户（注：用户名以$结尾的是隐藏用户）
• net user (username)查看该用户的详细信息
• net localgroup administrators查看管理员组中的用户
• 或者使用以下命令导出查看
• net user > user1.txt
• net localgroup administrators > user2.txt
• query user 可查看当前系统用户会话（即是否有远程终端登录）
• log off 踢出该用户

8.防火墙状态检查

• 查看防火墙状态：
netsh firewall show state > c:\firewall-state.txt
• 查看防火墙入站规则：
netsh advfirewall firewall show rule name=all dir=in > c:\firewall-in.txt
• 查看防火墙出站规则：
netsh advfirewall firewall show rule name=all dir=out > c:\irewall-out.txt

9.网络连接检查

Linux 系统排查

1.系统网络连接检查

netstat命令查看网络连接
• netstat -pantu(直接定位进程的pid)
• a (all)显示所有选项，默认不显示LISTEN相关
• -t (tcp)仅显示tcp相关选项
• -u (udp)仅显示udp相关选项
• -n 拒绝显示别名，能显示数字的全部转化成数字
• -p 显示建立相关链接的程序名
• 基于目的/本地的ip或端口筛选

• netstat -pantu | grep ip
• netstat -pantu | grep port

2.日志检查

GoAccess
https://github.com/grayddq/GScan
goaccess access.log --log-format=COMBINED -a > test.html #导出报告
GoAccess 是一款用于Apache或者Nginx的命令行日志分析器和交互式查看器。
它可以通过分析网站服务器日志来进一步挖掘数据，排查入侵痕迹。它在一个终端窗口实时输出并且可以在web端输出可视化的显示信息。

3.进程检查

ps命令查看系统进程（静态）
-aux 显示所有包含其他使用者的行程

例： ps -aux | grep kedvtmpfsi
\1. 查看cpu占⽤前5的进程信息
ps -eo pid,ppid,%mem,%cpu,cmd --sort=-%cpu | head -n 5
\2. 查看内存占⽤前5的进程信息
ps -eo pid,ppid,%mem,%cpu,cmd --sort=-%mem | head -n 5

4.历史命令检查

cat /root/.bash_history 或直接使用history命令

5.用户检查

• cat /etc/passwd 查看所有用户信息
• cat /etc/group 查看所有组信息
• groups 查看当前登录用户所在组的成员
• groups 用户名查看该用户所在组的成员
• cat /etc/shadow 查看所有用户

注：当前主流Linux系统中， passwd中口令字段大多以x代替，但保存在/etc/shadow文件
中，该文件只有超级用户权限才能读取。

6.自启动检查

• 查看开机自启动文件ls -alt /etc/init.d
• （/etc/init.d 是 /etc/rc.d/init.d 的软链接）

7.计划任务检查

• at -l 查看计划任务（一次性）
• at -c id 查看计划任务内容
•crontab -l 查看计划任务（周期性）

8.登陆记录检查

• last 列出
• 读取/var/log/wtmp文件（记录所有登录过本系统的用户的信息）
• last -f /var/log/btmp | more 查看所有登录失败的信息
• lastlog 列出用户最后登录的时间和登录终端的地址
• 读取/var/log/lastlog文件（记录所有登录过本系统的用户的信息）
• lastb 列出用户登录失败的记录
• 读取/var/log/btmp文件
• utmp 记录当前正在本系统中的用户的信息。

9.SSH密钥检查

• ssh登录密钥检查
• ~/.ssh/authorized_keys

注：免密登录的RSA公钥，可能会暴露创建该密钥时所用的用户名

10.自动化检测工具

Gscan
• https://github.com/grayddq/GScan
• python GScan.py #运行工具
Gscan是一款针对Linux自动化检测工具，可全方位的对Linux主机进行检测，包括历史操作、敏感文件、
后门账户、日志等，极大地为入侵溯源提供了便利。