安全专家：真实的网络攻击取证纪实

核心提示： 2007-08-26 07:43:47 123.5.57.117 试图攻击服务器2007-08-26 07:43:47 123.5.57.117 写ftp下载exe的脚本c:zxq.txt ftp服务器203.253.31.244 用户名kick1000 密码84460965 下载1.ex

2007-08-26 07:43:47 123.5.57.117 试图攻击服务器

2007-08-26 07:43:47 123.5.57.117 写ftp下载exe的脚本c:zxq.txt ftp服务器203.253.31.244 用户名kick1000 密码84460965 下载1.exe

2007-12-10 12:41:34 123.52.18.141 检测注入

五、查看登陆信息 查看是否存在有克隆帐户。

方法：检查注册表里面的sam文件有没有相同的fv，在这里检查过程中没有发现存在有克隆帐号。

六、查看系统安装日志，在这里并未发现问题。　　七、 查看IIS访问日志，在这里发现了攻击者信息。

2007-12-01 08:55:16 220.175.79.231 检测注入

2007-12-03 18:40:48 218.28.68.126 检测注入

2007-12-04 01:31:32 218.28.192.90 检测注入，扫描web目录

2007-12-04 23:23:33 221.5.55.76 检测注入

2007-12-05 09:20:57 222.182.140.71 检测注入

2007-12-08 09:39:53 218.28.220.154 检测注入

2007-12-08 21:31:44 123.5.197.40 检测注入

2007-12-09 05:32:14 218.28.246.10 检测注入

2007-12-09 08:47:43 218.28.192.90 检测注入

2007-12-09 16:50:39 61.178.89.229 检测注入

2007-12-10 05:50:24 58.54.98.40 检测注入

定位可疑IP地址，追踪来源 查出IP地址的信息。

八、查看网站首页的源代码

在iframe 这个位置查看是否有不属于该网站的网站信息。（查找 网马的方法），以及如何发现一些潜在的木马和网络可利用漏洞。

下面是我们得到的一些他的网马。gg3.asp Q:183637

log.asp

pigpot.asp

webdown.vbs

attach/a.gif

attach/chongtian.gif

attach/111.rar

system/unit/yjh.asp