(系统服务中发现异常服务项为远程控制木马,爆破1组准备)
(小样,默认还设置了注册表不允许administrators组无权限)
(定位到木马的DLL,提取并固定到入侵证据中)
(黑客惯用手法,伪装与正常ASPX程序相关文件名,修改文件时间,就连webshell代码都是那么几个一模一样的) 后续还发现黑客添加成功asp.net用户,但是没有种植驱动级后门,当前也并未发现其他后门。综合系统日志、IIS日志、webshell、逆向分析shift后门以及远程控制木马结果、数据库日志、防火墙日志等判断出黑客是重庆的XXX,这里就不提这些了。
以上内容仅供技术交流参考,欢迎大家与我互相交流