应急响应(1)-同事电脑

一、现象

重要时间节点，同事反馈桌面有鼠标移动、随机断网；发现登录账户多了一个，由于电脑长时间没有更改过密码，导致忘记密码无法登录。随机联系进行应急处理。

二、排查

2.1、密码重置/删除

由于同事忘记密码导致无法进行登录，去看内部情况，所以首先我们使用密码重置盘对administrator账户进行密码删除进行登录；这部分不讲解密码重置盘的制作，网上有相关教程和工具。通过密码重置盘发现了20个可疑账户。

2.2、文件排查

（1）开机启动文件排查（正常）

win+R访问msconfig进行图形化查看

使用reg查询注册表中的启动项： 启动项通常存储在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run键下。你可以使用以下命令来查看这些键的内容：

（2）临时访问文件（正常）

windows10下的临时使用和访问的文件快捷方式

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent

（3）浏览器查看是否下载过恶意文件（查看历史记录正常）

（4）C盘产生的缓存文件正常（temp文件夹）

2.3、进程排查

（1）查看恶意外链情况

netstat -an0 | findstr "ESTABLISHED"  未发现对外连接IP

（2）查看进程无可疑进程（占CPU和内存无异常，通过PChunter分析无异常进程）

2.4、系统排查

（1）查看到20个用户为MSSQLSERVER00-MSSQLSERVER20

compmgmt.msc

（2）计划任务（搜任务计划程序即可，无异常）

控制面板->计划任务

（3）环境变量为正常开发配置环境

2.5、webshell/木马/病毒文件排查

这类文件可通过文件排查，排查用户异常时间段访问的文件等，这里直接使用工具进行排查

webshell推荐D盾，河马

病毒查杀：使用了360天擎和卡巴斯基

以上均无异常

2.6、日志排查

通过事件查看器，查看4624，4625发现无频繁登录操作，排除系统用户被撞口令登录情况。排查数据库日志，无异常。

三、最后

回到我们看到的现象多了20个用户，建立描述都是Local user account for execution of R scripts in SQL Server instance SQLEXPRESS；我们网上找找；

https://learn.microsoft.com/en-us/answers/questions/527875/sql-r-services-installation-adds-local-os-users

最后发现同事电脑上安装了微软的R-service

乌龙事件！！！