您现在的位置: 
但是通过net user命令以及查看系统注册表的结果得出。这些帐户都已经不存在了,建立成功并登陆过以后就被删除了。所以目录文件还在。
那么黑客近期的登陆是凭什么呢?于是乎猜测黑客已经得到了服务器管理员帐号的登陆密码。所以试图查看最近是否有漏删除的登陆记录。
果然发现这条登陆记录。来自四川
打开访问发现是一个正常的网站,有可能是同样那个入侵者的肉鸡做为跳板登陆的。那么这个入侵者是非常小心的了。要追踪到他的各种途径都被他狡猾和熟练的技巧阻断了。难道就这样放弃了吗?当然不会!那就不是我的作风了!
再深入排查的过程中我发现,服务器出现了种植过AV终结者一类病毒的特征——无法显示隐藏文件夹。所以猜想入侵者在提权或者企图渗透的过程中曾经再服务器上运行过下载者一类的木马。于是上网搜索了修复显示隐藏文件的注册表文件。运行修复后对所有可能的隐藏文件及文件夹进行了排查。最后再D:\RECYCLER (垃圾回收站临时目录) 下发现了一个隐藏的文件。
文件名为空,大小为246KB。猜测可能是灰鸽子。于是想到要本地运行监听端口。为防万一不是灰鸽子,首先对木马进行了脱壳。
脱壳后再Uedit32下查看发现了Autorun.inf 的代码。
所以可以肯定这个文件是木马下载者。遗憾的是没办法再程序里发现下载木马的地址。后面想到了抓包截取。于是搬出我们经常用来测试软件是否存在后门时使用的:影音嗅探专家
接着就是冒险本机运行了下载者:
抓包得到了网址
hxxp://user.free2.7716*.net/zwj/Ip.txt
hxxp://lmhk.go1.icpc*.com/Ip.txt
这些地址。知道的人一看就明白。这个是肉鸡上线用的反弹地址的保存文件
那么这个我们前面分析有抓肉鸡习惯的入侵者他为了肉鸡上线就必须填写他本机的真实IP
