一次查找漏洞过程

1、起因

在管理员例行检查发现服务器反应速度变慢，一查发现系统已中木马，被控制做扫描其他机器的3389端口。

2、检查

初步判断是asp漏洞通过拿WebShell，然后上传木马。 发现web根目录wwwroot下面有两个文件：website.asp,com5.website.asp，时间是8.8；

 

 

 

进一步查找8.1-8.8日（可以广大范围）系统被修改的文件，发现config.asp,判断是从这文件入手插入；

 

 

 

 

查看这文件所在目录，发现是使用阿江统计系统，使用web浏览，发现该用户既然管理员密码也没改

参照：阿江统计系统V1.6后台拿SHELL (http://www.hackseo.net/post/%E9%98%BF%E6%B1%9F%E7%BB%9F%E8%AE%A1%E7%B3%BB%E7%BB%9F%E6%BC%8F%E6%B4%9E.html) 很容易就能上传代码，对系统进行控制。  

 

3、通过日记查找作恶者

 

 

 

 

 

 

 

 

 

 

 

 

4、处理 删除上传文件，查杀木马

 

 

 

 

 

 

 

 

 

 

 

 

 

 

笔者做法一般重新安装操作系统。