搞一个网站花多少钱企业查询宝

以下是针对网络安全应急响应中用户信息排查的细化指南，涵盖Windows和Linux系统的详细操作步骤及注意事项：

一、Windows系统用户排查

1. 基础账户检查

• 命令行快速查看：

  net user                # 查看所有本地用户（无法显示以$结尾的隐藏账户）
  net user Administrator # 查看指定用户的详细信息（如组成员、最后登录时间）
  

  注意：net user命令无法显示以$结尾的隐藏账户，需结合其他方法。

2. 图形化界面检查

• 操作步骤：
  1. 运行 lusrmgr.msc 打开【本地用户和组】。
  2. 检查【用户】列表，重点关注：
     • 名称以$结尾的账户（如admin$）。
     • 与内置账户（如Administrator、Guest）名称相似的账户（如Admin、Adm1n）。
     • 异常描述信息或未授权的用户组归属。

3. 注册表深度检查

• 操作步骤：
  1. 运行 regedit 打开注册表编辑器。
  2. 导航至 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\。
  3. 权限调整：右键SAM → 权限 → 赋予当前用户完全控制权限（需刷新后生效）。
  4. 检查项：
     • Names：查看所有账户名称（含隐藏账户）。
     • RID：对比用户RID（如500为内置管理员账户）。
       注意：操作注册表前建议备份，避免误操作导致系统故障。

4. WMIC工具检查

• 查看账户SID：

  wmic useraccount get name, sid, description  # 获取账户名、SID及描述
  

  关键点：
  • 检查SID是否异常：如与内置账户（如S-1-5-21-...-500为Administrator）重复的克隆账户。
  • 过滤可疑SID：wmic useraccount where "sid like '%S-1-5-21%'" get name,sid

5. 隐藏账户检测脚本

• PowerShell命令：

  Get-WmiObject Win32_UserAccount | Select Name, SID, Disabled, Lockout, Description
  

• 检测隐藏账户：

  Get-LocalUser | Where-Object {$_.Name -match '\$$'} | Format-Table Name, Enabled
  

二、Linux系统用户排查

1. 用户配置文件检查

• 查看所有用户：

  cat /etc/passwd | cut -d: -f1,3,6,7  # 显示用户名、UID、家目录、Shell
  

  重点关注：
  • UID为0的非root用户（如toor、admin）。
  • 家目录异常的普通用户（如/dev/null）。
  • 非标准Shell（如/bin/false用户具有登录权限）。

2. 特权用户分析

• UID=0的用户：

  awk -F: '$3 == 0 {print $1}' /etc/passwd  # 列出所有超级用户
  

• sudo权限用户：

  grep -Po '^sudo.+:\K.*$' /etc/group      # 查看sudo组成员
  cat /etc/sudoers | grep -v '^#'          # 检查sudoers文件中的授权
  

3. 可登录账户检查

• 有效登录Shell：

  grep -E '/bin/(bash|sh|zsh|tcsh|ksh)' /etc/passwd  # 列出可登录用户
  

4. 登录日志分析

• 近期登录记录：

  last -n 50           # 查看最近50条成功登录记录（/var/log/wtmp）
  lastb -n 50          # 查看最近50条失败登录记录（/var/log/btmp）
  lastlog              # 所有用户最后一次登录时间
  

  可疑特征：
  • 非工作时间登录（如凌晨时段）。
  • 非常用IP地址或地理位置。
  • 频繁失败的登录尝试（如针对root账户）。

5. 空口令账户检测

• 检查方法：

  awk -F: '($2 == "" || $2 == "!") {print $1}' /etc/shadow  # 空密码或锁定账户
  

  注意：需root权限读取/etc/shadow文件。

6. 当前活跃会话

• 实时登录状态：

  who -a           # 显示当前登录用户及登录来源
  w                # 显示已登录用户及正在执行的命令
  ps aux | grep sshd | grep -v grep  # 查看SSH进程关联的会话
  

三、高级排查技巧

Windows系统

• 事件日志分析：

  eventvwr.msc  # 查看安全事件日志（事件ID 4720为账户创建事件）
  

• 隐藏进程关联用户：

  tasklist /v /fo csv | findstr /i "username"  # 检查进程所属用户
  

Linux系统

• 用户历史操作：

  cat ~/.bash_history    # 查看用户命令历史（可能被篡改）
  history | grep '可疑命令'
  

• SSH密钥检测：

  ls -al ~/.ssh/authorized_keys  # 检查非授权公钥
  

四、注意事项

1. 最小化影响：优先使用只读命令，避免修改用户数据或终止进程。
2. 可信环境：使用干净的系统工具（如从外部介质加载的BusyBox）避免依赖被入侵系统的命令。
3. 时间线分析：记录所有操作时间戳，与攻击时间线交叉验证。
4. 完整性验证：对比/etc/passwd与/etc/shadow的MD5哈希，检测文件篡改：

   md5sum /etc/passwd /etc/shadow
   

5. 数据保存：将命令输出重定向到文件（如> user_audit.log）供后续取证。

通过上述方法可系统化排查异常账户，识别攻击者留下的后门账号或提权痕迹，为后续清除和恢复提供依据。