Windows服务器中毒或被入侵的快速诊断

Windows服务器中毒或被入侵的快速诊断

当业务迁移上云后，会面临更高的安全挑战。特别是对于Windows 服务器，由于攻击门槛低，可能会遭遇病毒或被入侵等安全风险。系统中毒或被入侵后，通常会导致系统报错、负载异常、无法远程、业务不稳定等诸多不可控问题。本文结合阿里云大量相关案例的处理经验，介绍如何快速的诊断和处理该类问题。

一、处理思路

判断系统是否有中毒或被入侵的迹象，是此类问题处理的关键。完整的处理思路如下图所示：

中毒或被入侵问题处理思路

二、快速诊断方法

可以结合如下三种方式进行快速诊断分析，用以判断系统是否有中毒或被入侵迹象。本文不会涉及更多深入的安全排查和诊断方法的讨论。

1.可疑文件诊断分析（4W1H）

可以通过如下4W1H 法来对可疑文件进行快速诊断分析。

注意：操作前，请先设置显示所有文件（包括受保护的系统文件）和显示文件后缀，相应配置方法本文不再详述。

What —文件类型是什么？

病毒或木马文件一般都为可执行文件。所以，排查时，请重点关注后缀为如下类型的文件：

●exe：Windows可执行文件

●bat：批处理文件

●com：DOS可执行文件

●vbs：Windows脚本

说明：，这只是一种简单的判断方法，因为文件后缀可以随意修改，无法真实反应出文件类型。

Where —文件在哪？

病毒或入侵者通常会在系统目录生成病毒或木马文件，并设置隐藏属性。诊断时，可依

次到如下目录排查可疑文件（再次提醒，注意显示隐藏文件）：

●C:\ 根目录

●C:\Windows 目录

●C:\Windows\System32 目录

●C:\Windows\Temp 目录

●C:\Users\<用户名>\AppData\Local\Temp 目录（用户缓存目录）

When —文件是什么时候创建的？

病毒或木马是在系统创建之后修改或生成的。所以，可以通过对比文件的【修改时间】来甄别可疑文件。如下图所示，进入前述系统目录后，点击【修改时间】列，按修改时间进行倒序排序，然后对比正常系统文件的修改时间来甄别可疑文件。

对比文件修改时间来甄别可疑文件

Who —文件名是什么？

常见病毒或木马文件的文件名可能具有如下特征。可以据此甄别可疑文件：

●随机字母和/或数字组合：病毒或木马通常会自动复制，然后在系统目录使用随机

字母和/或数字生成副本。比如：2gpjNw.exe，kuUYjp.exe，zJ5NQD.exe 等。

●易与系统文件混淆：病毒或木马为了伪装，可能会使用与系统近似的文件名来混淆

用户。比如：exp1orer.exe（正常文件名为explorer.exe），svch0st.exe （正常

文件名为svchost.exe）等。

How —如何综合判断？

最终，综合前述几个维度，可以使用一台正常服务器做对比，在相关系统目录下，根据文件类型、文件属性（是否隐藏）、文件修改日期、文件名称等因素，共同分析判定可疑文件。

疑似病毒或木马的文件示例

2.可疑启动项诊断分析

病毒或木马通常会将自身配置为开机自动启动。可以通过如下方法来排查可疑启动项。使用msconfig实用程序分析

通过Windows 系统自带的msconfig 实用程序，可以查看系统自启动项。

用法：开始菜单> 运行>msconfig ，如下图所示，切换到【启动】选项卡，然后重点关注制造商和命令这两列。如果相应启动项的文件路径或文件名具有前文所述可疑文件特征，则可以尝试取消勾选相应启动项后重启系统做对比分析。

通过msconfig 分析可疑启动项

使用Sysinternals工具包中的autoruns工具查看启动项微软官方免费提供的 Sysinternals 工具包中的autoruns 工具，能查看当前用户启动项、系统启动项、计划任务及浏览器挂载插件等更完整启动信息。如果问题服务器还能上传文件，则可以上传autoruns 做更详细的排查分析。分析原则与使用msconfig 一致。判定为异常启动项后，删除或取消勾选相应条目即可。

用法：运行软件后，如下图所示，切换到 Logon 选项卡查看启动项。

通过autoruns 工具分析可疑启动项

通过注册表查看启动项

如果服务器内msconfig无法正常运行，也无法上传autoruns 工具，则可以尝试直接通过注册表分析可疑启动项。

注意：请谨慎操作注册表，异常操作可能会引发系统无法启动甚至崩溃等严重问题。建议操作前先创建系统盘快照进行备份。

用法：开始菜单> 运行>regedit，打开注册表编辑器，然后定位到如下表所示各路径，查看是否存在可疑启动信息。分析原则与使用msconfig 一致。判定为异常启动项后，删除相应条目即可。

说明：HKEY_LOCAL_MACHINE 简称为HKLM，HKEY_CURRENT_USER 简称为HKCU，HKEY_CLASSES_ROOT 简称为HKCR。

3.可疑进程及服务诊断分析

病毒或木马通常会还会将自身注册为系统服务，以实现常驻内存和开机自启动。可以通过如下方法来排查可疑进程或服务。

通过msconfig剔除系统服务

如果服务器内msconfig 实用程序还能正常运行，则可以通过其剔除系统自带服务，以便更快速的排查分析异常服务。

用法：如下图所示，运行msconfig 后，切换到【服务】选项卡，勾选隐藏所有Microsoft 服务复选框即可。

通过msconfig 显示非系统服务

可疑名称

和可疑文件的分析类似，也可以使用如下名称规则来甄别可疑进程或系统服务：

●以随机字母和/或数字命名

●易与系统服务或进程混淆的命名

三、处理方法

根据系统可控程度，如果出现异常时，还可以通过远程桌面或管理终端正常进入服务器，则可以参阅前文相关说明进行自助诊断分析。否则，则需要提交工单，反馈阿里云工程师，从后端通过WinPE 工具盘引导服务器后做相关排查分析。

诊断分析后，如果确认系统存在中毒或被入侵迹象。则可以先通过如下方式进行简单处