Linux/Windows 入侵排查指南

Linux 与 Windows 入侵排查实用思路,涵盖日志分析、账户检查、命令历史、计划任务、数据库日志等关键环节,帮助安全人员快速定位异常与威胁。

Linux/Windows 入侵排查指南

🐧 Linux 入侵排查思路

步骤检查项目具体操作关键文件/命令
1分析安全日志检查SSH爆破和异常登录/var/log/secure
2检查系统账户排查恶意新增用户/etc/passwd
3分析命令历史查看恶意命令执行记录~/.bash_history
4检查Root邮箱日志被删时的补充分析/var/spool/mail/root
5分析中间件日志Web攻击痕迹排查access_log
6检查登录日志成功/失败登录分析last/lastb
7分析计划任务可疑定时任务排查/var/log/cron
8分析操作历史系统命令审计history日志
9数据库日志分析数据库安全审计Redis/MySQL/Oracle等日志

🪟 Windows 入侵排查思路

步骤检查项目具体操作工具/命令
1账号安全检查弱口令、网络连接、进程分析Netstat, tasklist
2登录日志分析成功/失败登录事件筛查事件ID: 4776, 4624
3系统账户排查可疑账户检查lusrmgr.msc
4本地用户组检查隐藏账户检测compmgmt.msc
5管理员行为分析登录时间异常分析Log Parser
6计划任务排查可疑定时任务检查taskschd.msc
7近期文件分析最近访问文件检查%UserProfile%\Recent
8中间件日志分析Web攻击痕迹排查Tomcat/Apache日志
9近期修改文件文件变更时间线分析%UserProfile%\Recent

🔍 排查要点说明

Linux 重点关注

  • /var/log/secure: SSH登录尝试、成功登录记录
  • /etc/passwd: UID为0的非root账户、异常shell账户
  • bash_history: 可疑下载、权限提升、网络连接命令

Windows 重点关注

  • 事件日志: 重点关注安全事件ID
  • 用户管理: 隐藏账户、克隆账户检测
  • 计划任务: 异常定时执行任务