1、windows下排查可疑进程的相关命令
```
msinfo32\软件环境\正在运行任务
netstat -ano
netstat -ano | findstr 445
taskill /im cmd.exe
taskill /pid 2208
```
2、windows下的高危端口
一、8080端口:此端口与网页访问端口近似,因此易被黑客利用
二、21端口:易被黑客用批量工具扫描到ftp目录,从而进行窃取
三、135端口:黑客扫描到此端口可以进行批量密码爆破,传输ftp木马
四、445端口:此端口如果未被封禁,可能被执行cmd命令控制破坏电脑
五、1433端口和3306端口:此端口加固定ip可以直接打开sqlserver数据库,大多数公司数据库未设置密码
六、3389端口:此端口是服务器的默认连接端口,如果黑客我netscan扫描到后,可以用批量密码爆破工具爆破密码
七、113端口:此端口常被用于FTP、POP、SMTP、IMAP、IRC的网络服务保留服务记录的端口,但可能会被木马利用反向分析而控制
八、119端口:如果服务器的功能为新闻组传输协议实现推送,邮件的功能,建议关闭此端口,因此端口被黑客利用后可以自动发送任意信息
九、138端口:此端口的目的为传输udp数据,黑客可以利用制作好的伪报文发送虚假信息,使windows预判,从而获取系统的数据文件
十、139端口:此端口为windows共享打印端口,黑客如果扫描到此端口会发送虚假命令进行测试,如有低版本windows回应了此报文,黑客则可以利用漏洞进行攻击
附录
应急实战响应实战笔记
评论已关闭