一、用户信息排查
在服务器被入侵后,攻击者可能会建立相关账户(有时是隐藏或克隆账户),方便进行远程控制。攻击者会采用的方法主要有如下几种:
-
直接建立一个新的账户:攻击者直接创建一个新的账户,有时为了混淆视听,账户名称与系统常用名称相似。
-
激活一个系统中的默认账户:攻击者可能激活系统中的默认账户,但这个账户通常是不经常使用的。
-
建立一个隐藏账户:在Windows系统中,攻击者可能建立一个隐藏账户,一般在账户名称最后加$符号。
无论攻击者采用哪种方法,都会在获取账户后,使用工具或利用相关漏洞将这个账户提升到管理员权限,然后通过这个账户任意控制计算机。
二、Windows 账户排查方法:
-
命令行方法:
- 使用 net user 命令:在命令行中输入"net user"命令,可直接收集用户账户信息。若需查看某个账户的详细信息,可在命令行中输入"net user 用户名称"命令。
- 使用 wmic 命令:在命令行中输入"wmic useraccount get name/SID"命令,也可以查看系统中的用户信息。(name与SID选其中一个)
-
图形界面方法:
- 使用计算机管理窗口:打开"计算机管理"窗口,单击"本地用