远程桌面口令爆破

关闭远程桌面,或者修改默认用户administrator


共享设置

检查是否只有共享出去的文件被加密。

激活/破解

检查中招之前是否有下载未知激活工具或者破解软件。

僵尸网络

僵尸网络传播勒索病毒之前通常曾在受害感染设备部署过其它病毒木马,可通过使用杀毒软件进行查杀进行判断。

第三方账户

检查是否有软件厂商提供固定密码的账户或安装该软件会新增账户。包括远程桌面、数据库等涉及到口令的软件。

软件漏洞

根据系统环境,针对性进行排查,例如常见被攻击环境Java、通达 OA、致远 OA 等。查 web 日志、排查域控与设备补丁情况等。

安全建议

  • 修改默认远程连接端口。
  • 不使用弱密码。
  • 不安装来历不明的软件(比如xx破解版、xx绿色版)。
  • 安装必要的杀毒软件。
  • 普通账户运行mysql、mssql;尽量避免system或管理员运行。
  • 尽量关闭数据库远程。
  • 通过官方update及时更新系统补丁。
  • 查看Windows用户和组是否异常。
  • 任务管理器查看是否有占用较高的进程、异常进程。
  • 查看常见的目录如C:\Windows是否有异常脚本或可执行文件。
  • 检查事件查看器是否有异常用户/异常IP登录。
  • windows进程中PID值0-999为系统进程。

系统日志

分析方法:
a、前提:开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。
b、Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。
c、导出应用程序日志、安全日志、系统日志,利用Log Parser进行分析。

WEB访问日志

分析方法:
a、找到中间件的web日志,打包到本地方便进行分析。
b、推荐工具:Window下,推荐用 EmEditor 进行日志分析,支持大文本,搜索效率还不错。Linux下,使用Shell命令组合查询分析

登录日志

筛选事件ID为4776的事件即为远程登录日志。
您还可以使用4624和4624查看登录信息。
a、4624:Windows登录成功的事件ID。
b、4625:Windows登录失败的事件ID。