宝子们现在只对常读和星标的公众号才展示大图推送，建议大家把李白你好“设为星标”，否则可能就看不到了啦！

应急响应是信息安全工作中重要的一环，但有时也会因为客户对“黑客”攻击的“恐惧”心理，从而产生很多啼笑皆非的应急响应事件。

本文作者Day1安全团队returnwrong，文章首发freebuf，经过作者同意转载到李白你好并打原创标识。

2020年某日，我方接到某单位网络安全负责人反馈，该单位windows服务器出现多次登录无法登录成功且该服务器为该单位重要服务器，事出紧急，现场工作人员怀疑该服务器账号密码被黑客更改，需要我方技术团队进行现场支持。

经过60分钟后到达客户现场，再次与网络安全负责人确认情况，得到信息与电话沟通内容一致。立刻进入机房进行现场分析，首先对该机器进行物理断网和密码重置，随后使用安全工具对系统进行入侵排查和病毒木马检测，以下为机房现场情况：

（我在这里露个脚(。・＿・。)ﾉI’m sorry~）

对该机器进行物理断网后，进入BIOS，设置从U盘启动：

1、进入pe对系统密码进行更改处理，主机登录成功，并对系统存在账户进行排查未发现可疑账户：

2、对系统计划任务、进程运行、主引导区记录等多个项目进行完整检查：

3、排查定时任务，并且跟现场工作人员核对，未发现其他非工作人员创建的定时任务

4、排查系统防火墙，日志审核策略及日志留存情况，并将日志做导出备份处理：

5、跟主机安全负责人、网络负责人及该主机使用方做相关询问得出以下信息：

设备IP:172.xx.xx.xx/24

设备网关：172.xx.xx.1

系统管理及使用方登录方式：连接vpn后使用windows远程桌面连接

系统使用方登录时间：2020年8月6日18:30—19:00

主机管理方登录时间：2020年8月7日8:30—9:00

计划任务：使用方自己的正常业务

系统使用方最后一次登录时间：3个月前

基于该主机自身情况进行分析

（1）调查该主机自身感染病毒木马情况：人工分析未发现系统感染恶意病毒木马特征，无可疑账户、克隆账户、可疑计划任务，未发现入侵现象。

（2）系统日志分析情况：对近期系统登录成功与失败日志进行排查，如下图所示：

（3）使用logparse进行日志分析：

8月7日8:30-9:00间多次登录失败，并非攻击者更改密码所致，实际为登录用户名输入错误所致（正确用户名为administrator用户使用用户名为Lenovo，推测为用户远程登录时未修改登录默认用户名信息，导致用户名为个人pc用户名）。根据日志该系统最后一次远程桌面登录为2020年5月6日，与系统使用方描述一致。