蛛丝马迹揪出入侵你服务器的凶手[3]

抓到灰鸽子木马

    再深入排查的过程中我发现，服务器出现了种植过AV终结者一类病毒的特征——无法显示隐藏文件夹。所以猜想入侵者在提权或者企图渗透的过程中曾经再服务器上运行过下载者一类的木马。于是上网搜索了修复显示隐藏文件的注册表文件。运行修复后对所有可能的隐藏文件及文件夹进行了排查。最后再D:\RECYCLER （垃圾回收站临时目录） 下发现了一个隐藏的文件。

    文件名为空，大小为246KB。猜测可能是灰鸽子。于是想到要本地运行监听端口。为防万一不是灰鸽子，首先对木马进行了脱壳。