首先我们当然是要了解下目前服务器被入侵感染及破坏的情况了:
据朋友说:
1. 服务器工作异常,网络非常缓慢
2. 服务器上经常出现病毒和木马的提示
3. 服务器上的日志有被删除的迹象
4. 有被挂马的迹象
5. 次日出现网站文件夹被删除
6. …..
于是开始着手分析:
第一个想到的当然是分析日志,但是日志已经被删除了。而且使用数据恢复工具进行恢复也没成功,只能pass。然后想到查看一些不容易被注意的日志----杀毒软件的查毒日志:
发现有大量的下载后门木马及黑客工具的记录:包括135扫描工具、灰鸽子、Pcshare、S扫描器等…..
从这里我们分析得到这个黑客有抓肉鸡的习惯,入侵服务器的目的之一就是为了利用服务器的带宽来抓更多的个人PC肉鸡。当然我们也不排除他会使用我们的服务器去DDOS攻击别人。
接着分析:有添加非法用户的迹象
