GNU/Linux >> Belajar Linux >  >> Linux

Selidiki server Windows yang disusupi

Artikel ini membantu Anda memahami dan mengidentifikasi indikasi server Windows® yang disusupi. Ini adalah dokumen tingkat tinggi, yang dapat Anda gunakan sebagai sumber daya dalam melacak potensi masalah daripada menyelesaikan server yang disusupi.

Jenis kompromi

Artikel ini membahas dua jenis kompromi:Level aplikasi dan Sistem atau level root. Ini cukup serius dan seringkali memerlukan rencana pemulihan bencana yang kuat untuk dimitigasi.

Kompromi tingkat aplikasi

Kompromi tingkat aplikasi terjadi ketika layanan tingkat rendah atau pengguna dikompromikan. Kompromi umum dalam grup ini mencakup masalah berikut:

  • Pengrusakan situs
  • Penandaan FTP
  • Manipulasi file FTP
  • Injeksi SQL

Jenis kompromi ini dapat mengubah data di server. Namun, mereka tidak pernah mencapai akses tingkat administratif atau root di server. Dalam kasus ini, Anda mungkin dapat mengidentifikasi dan mengamankan kerentanan. Mengamankan kerentanan tingkat Aplikasi dapat mencakup penghapusan akses tulis dari pengguna web anonim, penghapusan virus dari server, atau pengamanan aplikasi melalui patch yang tersedia. Untuk memperbaiki file yang diubah, Anda perlu memulihkan dari cadangan.

Administrasi, sistem, atau kompromi tingkat root

Jenis kompromi ini terjadi ketika penyerang memperoleh akses administratif ke sistem dan dapat mencakup masalah berikut:

  • Layanan yang disusupi berjalan sebagai System , LocalService , atau Administrative pengguna
  • Akun pengguna yang disusupi yang memiliki hak Administratif
  • Akses melalui pengguna non-administratif ke lokasi yang dibatasi untuk pengguna Administratif (seperti direktori Sistem, dan sebagainya)
  • Virus ditemukan di direktori Sistem atau Administratif
  • Aktivitas jaringan keluar yang terlihat berbahaya
  • Injeksi SQL (termasuk eksekusi perintah)

Penting: Saat penyerang memperoleh tingkat akses ini, Anda tidak dapat menentukan modifikasi apa pun yang terjadi selama proses penyusupan.

Alat Windows yang dapat Anda gunakan untuk mencari kompromi

  • Daftar Tugas: Alat baris perintah yang memberikan detail tentang proses dan layanan dalam sistem
  • Manajer Tugas: Alat grafis yang memberikan detail tentang proses, statistik sumber daya, dan aktivitas jaringan dalam sistem
  • Manajer Sumber Daya: Alat grafis mirip dengan Taskmanager tetapi memberikan detail lebih lanjut tentang penggunaan sumber daya

Jelajahi server yang disusupi

Untuk mengeksplorasi kemungkinan situasi kompromi, lakukan tugas berikut, yang dijelaskan di bagian ini:

  • Identifikasi kompromi
  • Tinjau prosesnya
  • Tinjau layanan
  • Tinjau pengguna

Identifikasi penyusupan

Penggunaan bandwidth tak terduga yang tinggi dan berkelanjutan sering kali merupakan gejala umum. Karena penyerang biasanya membahayakan sistem yang ingin menjalankan layanan jaringan pada mereka, mungkin ada layanan yang berjalan pada sistem, jadi mendengarkan port aneh dapat mengindikasikan server yang disusupi.

  • Untuk meninjau koneksi jaringan untuk TCP, jalankan perintah berikut:

    NetStat -naop 'TCP'

  • Untuk meninjau koneksi jaringan untuk UDP, jalankan perintah berikut:

    NetStat** -naop 'UDP'

  • Untuk menghitung koneksi tertentu, jalankan salah satu perintah berikut:

    NetStat** -naop 'TCP'

find /c ":<port>"

Catatan: TCP Sysinternal view menawarkan alat grafis alternatif untuk ulasan ini.

Tinjau prosesnya

Identifikasi proses yang mencurigakan. Server yang disusupi kemungkinan memiliki satu atau lebih proses berbahaya yang berjalan. Terkadang Anda dapat mengidentifikasi ini karena mengandung kesalahan ketik, kesalahan tata bahasa, atau deskripsi yang mencurigakan.

  • Untuk membuat daftar proses yang berjalan pada sistem, jalankan perintah berikut:

    Tasklist /FI "USERNAME ne NT AUTHORITY\SYSTEM" /FI "STATUS eq running"

  • Untuk daftar proses yang didefinisikan sebagai layanan, jalankan perintah berikut:

    Tasklist /svc

  • Untuk membuat daftar snapshot dari proses yang sedang berjalan dengan output yang sama seperti daftar proses taskmanager, jalankan perintah berikut:

    Get-Process

  • Untuk membuat daftar proses dan pengguna yang menjalankannya, jalankan salah satu perintah berikut:

    gwmi win32_process

select Name, @{l="User name";e={$_.getowner().user}}

Tinjau layanan

Cari kesalahan ketik, kesalahan tata bahasa, atau deskripsi yang mencurigakan. Jika layanan terlihat meragukan, periksa properti dan dependensinya. Juga, tentukan apakah file tersebut dapat dieksekusi. Gunakan GUI Layanan untuk melihat layanan yang sedang berjalan.

  • Untuk membuat daftar Layanan yang sedang berjalan, jalankan perintah berikut:

    get-service | where-object {$_.Status -eq "Running"}

Tinjau pengguna

Untuk mengetahui apakah server disusupi dan mengidentifikasi konfigurasi yang buruk dengan cepat, tinjau akun pengguna dasar.

  • Untuk mengidentifikasi akun pengguna yang tidak dikenal atau bernama tidak biasa dengan mendaftarkan pengguna yang dikonfigurasi, jalankan perintah berikut:

    net user

  • Untuk mengidentifikasi pengguna yang tidak dikenal di grup Administrator lokal dengan mendaftar Administrator yang dikonfigurasi, jalankan perintah berikut:

    net localgroup Administrators

  • Untuk melihat apakah akun tamu diaktifkan dan di grup Administrator, jalankan perintah berikut:

    net user guest

Alat tersedia dari Microsoft Sysinternals

Untuk informasi lebih lanjut, tinjau sumber berikut:

  • Dokumentasi ke Sysinternals
  • Tautan langsung ke alat sysinternal
  • Sophos AntiRootkit

Gunakan tab Umpan Balik untuk memberikan komentar atau mengajukan pertanyaan. Anda juga dapat memulai percakapan dengan kami.


Linux

  1. Hosting Windows DotNetPanel

  2. Periksa waktu aktif Server Windows

  3. Mengaktifkan TLS 1.2 di Server Windows

  1. Instal IIS di Windows 2012

  2. Instal Nginx di Windows

  3. Login Windows lambat

  1. Menambahkan IP ke Server Windows

  2. Selidiki server yang disusupi

  3. Memecahkan masalah server cloud Windows yang rusak