第301章

目前天守所开发的yelio还是以apache为主，iis是后来dows版新增的支援感染项目。

利用iis的overflow漏洞，yelio被殖入了。

&lso;不好了！

&rso;宇成直觉道：&lso;iis服务被侵入了木马，我得快速查出是什么东西！

&rso;

按照何智言先前所教，宇成输入tasklistfi命令找出了一个名为etylo。

dll以及yelio。

dll这两个dll档可能有问题，而云飞也有所发现。

云飞说：&lso;我输入tasklistetylo。

dll与tasklistyelio。

dll后发现它们都指向一个ect。

exe，这个程式可能是它的根基所在！

&rso;

宇成问道：&lso;你有抓到ect。

exe的位置吗？&rso;

云飞说：&lso;它在syste32目录下，同时用tasklist去看这个程式会发现它还另外用上了其他五个dll档，而这些dll档名似乎是被传进来的。

&rso;

简德昌此时说：&lso;你们猜的没有错！

这些dll档都是因为iis的一个overflow问题而被夹带进来的，我刚刚和秦天罡他们问了一下，yelio似乎是一种感染web伺服器软体后对特殊的url编码产生一种识别命令的动作，感染后操作者可以利用浏览网页的方式直接在网址后面加上命令参数以指示木马动作。

&rso;

宇成怒道：&lso;可恶！

简医生，让我来操作炎黄系统反攻回去吧？&rso;

简德昌说：&lso;先别心急，你们就专心对付敌人，ip的事我来帮你们。

要找到对方的真实ip，我们才可以进行反制动作啊！

&rso;

宇成笑道：&lso;你一定不熟操作炎黄系统吧？其实它可以利用其他方式反追踪喔！

&rso;

简德昌惊讶道：&lso;这是真的吗？我完全不知道炎黄系统还有这种用法。

&rso;

宇成卷起袖子说：&lso;我用给你看吧！

&rso;宇成决定大胆使用强力入侵的方式，这是雷备天所不敢使用的方式，毕竟这相当冒险。

利用特别的traceroute能力，取样一个封包后在里面加入炎黄系统特别的资讯，再释放它回到原ip去。

原本应该查询到代罪羔羊为止，但配合炎黄系统的漏洞入侵，只要事先殖入一个小程式运作，让它分析到处理有炎黄系统特殊记号封包的程式并抓住跳板程式回传的位置，就可以追查到上游的操纵者。

然而，为了快速侵入与资讯流通必需打开自己的防火墙，若对方直接攻击这部主机也有完蛋的可能。

宇成离开后，云飞便快速的利用ntsd–cq–p指令关掉各部主机上的ect。

exe程式，因为用普通的方式关不掉，得让iis停止服务才会一同停止，只好强制关闭。

为了让宇成追踪，云飞特地留下一部不动作，好藉此取样封包。

本章未完，点击下一页继续阅读