一、現(xiàn)象

重要時(shí)間節(jié)點(diǎn)，同事反饋?zhàn)烂嬗惺髽?biāo)移動(dòng)、隨機(jī)斷網(wǎng)；發(fā)現(xiàn)登錄賬戶多了一個(gè)，由于電腦長時(shí)間沒有更改過密碼，導(dǎo)致忘記密碼無法登錄。隨機(jī)聯(lián)系進(jìn)行應(yīng)急處理。

二、排查

2.1、密碼重置/刪除

由于同事忘記密碼導(dǎo)致無法進(jìn)行登錄，去看內(nèi)部情況，所以首先我們使用密碼重置盤對administrator賬戶進(jìn)行密碼刪除進(jìn)行登錄；這部分不講解密碼重置盤的制作，網(wǎng)上有相關(guān)教程和工具。通過密碼重置盤發(fā)現(xiàn)了20個(gè)可疑賬戶。

2.2、文件排查

（1）開機(jī)啟動(dòng)文件排查（正常）

win+R訪問msconfig進(jìn)行圖形化查看

使用reg查詢注冊表中的啟動(dòng)項(xiàng)： 啟動(dòng)項(xiàng)通常存儲(chǔ)在注冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run鍵下。你可以使用以下命令來查看這些鍵的內(nèi)容：

（2）臨時(shí)訪問文件（正常）

windows10下的臨時(shí)使用和訪問的文件快捷方式

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent

（3）瀏覽器查看是否下載過惡意文件（查看歷史記錄正常）

（4）C盤產(chǎn)生的緩存文件正常（temp文件夾）

2.3、進(jìn)程排查

（1）查看惡意外鏈情況

netstat -an0 | findstr "ESTABLISHED"? 未發(fā)現(xiàn)對外連接IP

（2）查看進(jìn)程無可疑進(jìn)程（占CPU和內(nèi)存無異常，通過PChunter分析無異常進(jìn)程）

2.4、系統(tǒng)排查

（1）查看到20個(gè)用戶為MSSQLSERVER00-MSSQLSERVER20

compmgmt.msc

（2）計(jì)劃任務(wù)（搜任務(wù)計(jì)劃程序即可，無異常）

控制面板->計(jì)劃任務(wù)

（3）環(huán)境變量為正常開發(fā)配置環(huán)境

2.5、webshell/木馬/病毒文件排查

這類文件可通過文件排查，排查用戶異常時(shí)間段訪問的文件等，這里直接使用工具進(jìn)行排查

webshell推薦D盾，河馬

病毒查殺：使用了360天擎和卡巴斯基

以上均無異常

2.6、日志排查

通過事件查看器，查看4624，4625發(fā)現(xiàn)無頻繁登錄操作，排除系統(tǒng)用戶被撞口令登錄情況。排查數(shù)據(jù)庫日志，無異常。

三、最后

回到我們看到的現(xiàn)象多了20個(gè)用戶，建立描述都是Local user account for execution of R scripts in SQL Server instance SQLEXPRESS；我們網(wǎng)上找找；

https://learn.microsoft.com/en-us/answers/questions/527875/sql-r-services-installation-adds-local-os-users

最后發(fā)現(xiàn)同事電腦上安裝了微軟的R-service

烏龍事件！！！