安全专家：真实的网络攻击取证纪实

核心提示： 三、 利用专用防火墙检查工具去查看网络连接情况目的是通过抓数据包来找出问题，如果对方安装的有远程控制终端，安全专家：真实的网络攻击取证纪实(3)，他肯定需要让保存在服务器上的后门和控制终端进行通话，会有一个会话连接，在访问新闻频道的时候，直接就是sa权限，通过防火墙的拦截功能而去寻找出控制

三、 利用专用防火墙检查工具去查看网络连接情况

目的是通过抓数据包来找出问题。如果对方安装的有远程控制终端，他肯定需要让保存在服务器上的后门和控制终端进行通话，会有一个会话连接。通过防火墙的拦截功能而去寻找出控制的源头。这个上面没有发现存在反弹木马，所以没有看到入侵的源头。

四、检查系统日志

作用：检查系统日志是否被入侵者清除，如果日志被入侵者删除，需要用数据恢复软件恢复操作系统日志

检查内容：主要包括IIS日志，安全性日志，系统日志。

更近一步深入检查：

找到日志后，仔细分析网站是否有入侵者留下的webshell,尤其是一句话后门

根据Webshell的名字， 在IIS 访问日志里搜索相关的名字，找到入侵者常用的ip地址，分析ip地址

还可以根据此IP地址检索IIS日志中，此入侵者都进行过什么样的操作

技术点滴：如果你比较熟悉Webshell，通过Get操作可以知道入侵者都进行过何种操作。因为Get操作是被系统记录的。

如果入侵者装有系统级的后门，用常用工具比如冰刃(IceSword),System Repair Engineer (SREng)等分析出可疑文件，用其他调试工具分析找到入侵者控制端IP地址。

通过服务器日志查出隐藏在后面的幕后黑客

通过iis的log访问日志，排查出三个可疑目标，其中一个手法相对于后两个入侵者更熟练一些，他在今年5月份左右或者更早就拿到了该服务器权限，上来之后到是没有做任何的添加和修改，从技术上来看，他是通过寻找网站的注入点进来的，然后在上面放了不少的后门，还放了一个mm.exe的文件，但是因为技术问题，没有把这个马运行起来，从外部访问只是在主页上显示为mm.jpeg，伪装成了图片。但是打开以后，什么都没有。经过我们分析以后，它是一张裸女的jpeg文件。如果他这个mm.exe成功，完全有可能将该主站页面换成一张黄色图片。危害还是有的。另外该站点权限给的过高，在访问新闻频道的时候，直接就是sa权限。这个是最高系统级和Admin是一个级别的。