主机安全自检指南

新年刚过，就有多起勒索病毒攻击事件发生，经分析发现，此次出现的勒索病毒正是GlobeImposter家族的变种，该勒索病毒将加密后的文件重命名为.TRUE、.TECHNO等扩展名，并通过邮件来告知受害者付款方式，使其获利更加容易方便。

为防止遭勒索病毒攻击，腾讯”御点”提供主机安全自检指南，用户可通过该指南检测主机安全，以免遭到勒索病毒破坏。

A、检查登录密码是否为弱密码，如：空密码，123456,111111,admin,5201314等。

B、检查是否开启高风险服务、端口，如：21\22\23\25\80\135\139\443\445\3306\3389，以及不常见端口号。linux下root权限使用命令：netstat -tnlp； windows下使用命令netstat -ano | findstr LISTENLING，同时使用命令tasklist导出进程列表，找出可疑的正在监听端口对应的进程。

C、检查本机防火墙是否开启，在不影响正常办公的情况下，建议开启防火墙。

D、检查本机ipc空连接及默认共享是否开启，windows下使用net share命令查看，若返回的列表为空即未开启，否则为开启默认共享。列表中出现C$\D$\E$分别代表默认共享出C、D、E盘文件，且在获取到windows ipc$连接权限后，可随意读写。该类共享一般情况下用不到，建议关闭，关闭方法：net share C$ /del，net share ipc$ /del……

E、检查本机是否关闭“自动播放”功能，方法：打开“运行”，输入gpedit.msc打开组策略选中计算机配置—管理模板—系统—“关闭自动播放”，双击进入编辑界面，对所有驱动器选择启用关闭。此外，建议安装安全软件杜绝该类威胁，以防U盘等外接设备传播病毒木马。打开“运行”，输入：control.exe /name Microsoft.AutoPlay，弹出的设置对话框中，选择“不执行操作”。

F、检查本机安装软件情况，是否有低版本有漏洞软件，如：FTP Internet Access Manager 1.2、Rejetto HTTP File Server (HFS) 2.3.x、FHFS – FTP/HTTP File Server 2.1.2等。使用命令：wmic /output:D:\check\InstalledSoftwareList.txt product get name,version可将本机安装软件列表导出到D:\check\InstalledSoftwareList.txt中。

G、检查本机office、adobe、web浏览器等软件是否更新到最新版本及安装最新补丁，以防钓鱼、挂马类攻击。

H、检查本机系统补丁是否安装到最新，尤其关注以下可导致远程命令执行漏洞：

使用命令wmic qfe get hotfixid 可获取当前已安装的补丁包，对照上表自行检查。

如需帮助，请在cmd命令行下依次输入下面命令，而后将C:\pcmgr_check\文件夹打包发送到邮箱：es@tencent.com

netstat -ano > c:\pcmgr_check\netstat.txt

tasklist&net start > c:\pcmgr_check\tasklist.txt

wmic process get name,executablepath,processid > c:\pcmgr_check\process.txt

net share > c:\pcmgr_check\share.txt

net user & net localgroup administrators > c:\pcmgr_check\users.txt

wmic product get name,version > c:\pcmgr_check\products.txt

wmic qfe get hotfixid > c:\pcmgr_check\hotfixid.txt

systeminfo > c:\pcmgr_check\systeminfo.txt

net use > c:\pcmgr_check\netuse.txt

ipconfig /all > c:\pcmgr_check\ipconfig.txt

query user > c:\pcmgr_check\query_user.txt

未经允许不得转载：运维大虾 » 主机安全自检指南