发现一台服务器的网站文件都被篡改了,asp文件都被添加了某诈骗网站的链接文件;

当远程登录时会在windows/system32下产生一个edit.hlp的文件;里面记录了登录的帐号和密码;

   寻找了一段,只发现为explorer创建的;但是却找不到有***的迹象;继续寻找中;

 

7.28通过macfee发现了被上传过一个2003.rar里面 有 install.bat 。。。。。

但是并没发现创建edit.hlp的脚步,而是创建password.txt。难道有其他地方的配置。待验证;