【玄机应急】第七章 常见攻击事件分析–钓鱼邮件

一、附件下载

下载好流量数据包附件

二、步骤一：请分析获取黑客发送钓鱼邮件时使用的IP

先整体浏览下附件内容，有www的网站源文件和log的日志目录

这里有钓鱼的邮件，直接记事本打开。看最后一个Received内部的from的地址

前面的Received内部的from地址大都是其他邮件服务器的代理转发地址

三、步骤二：获取黑客钓鱼邮件中使用的木马程序的控制端IP

1、过沙箱

四、步骤三：请分析获取webshell的文件名

1、D盾扫一下

五、步骤四：隧道程序的文件名

观察其他路径的文件

疑似mysql 的配置文件my.conf怎么会出现在这里。过沙箱