第106部分(第3/4 页)

，这几部主机有着一些相同而且奇怪的URL编码在传送着，IP于这几个xxx。xxx。xxx。xxx，你们刚刚对这些IP有查到什么吗？’

一个人举手道：‘报告！我刚刚曾经有截到过这个IP位置xxx。xxx。xxx。xxx对PORT：22进行资料流动，不过那个应该是SSH加密很安全才对啊．．．’

另外几个人也说：‘我也有看到！’‘我的也是！’‘太奇怪了！？’

秦天罡摇摇头说：‘对手是天守，他们有什么样的能力我们不知道，或许他们早就侦测到我们的SSH连线有漏洞在。’

雷备天则说：‘快点把你们刚才的IP给我，我要向它反追踪！这些IP一定不是他们的真实IP，我得用炎黄系统尽快查出上游来源。’

几个人忙着将IP告知雷备天，然而马智风和符峰青已经设定好暂停连线了。他们的安全系统相当完全，虽然每人有十六个IP，但它们会轮流将这些IP暂停使用，也就是设置代罪羔羊的同时加了时间参数。这些羔羊除了第一次外，可以设定反向连线时间，比如10：00到10：03由A羔羊连线，10：03到10：06由B羔羊连线，只要事先规划好连线时间，就可以每三分钟跳一次IP，而当为方掌握住攻击IP反追踪时，大多超过了三分钟的连线时间而断线，因此查不出源头。

秦天罡果然发现到了新的IP传递奇怪的URL编码，愤怒的想：‘可恶啊．．．这么短的时间要追查上游实在有点困难，而且这些URL编码我还找不出可以过滤掉的规则，我得再集中我的精神与逻辑能力去判断！’

为了追求反制能力，秦天罡不断的利用他的逻辑能力试图分析出有可能的规则，这是他身为骇客的自觉，他不能输给对方的程式。

同样辛苦的雷备天想着：‘真是可恶啊．．．这么多的IP，还在不断增加，对方到底预藏了多少个跳板？我得继续测试！该死，如果是Proxy就不会这么麻烦了，可以直接请求原始IP，但这种跳板程式太难往上追了，就算是炎黄系统的能力也一样，总不能每个伺服器都强行侵入吧？’

在这个时刻，简德昌所守护的A机组也被梁品伦和毕示古进行猛烈的突击动作。由于WINDOWS相对于其他作业系统是漏洞较多的，也是梁品伦与毕示古经常在研究的系统，因此他们熟知一些IIS不为人知的漏洞。

毕示古问道：‘如何呢？yelio木马的WindowsIIS版应该很容易殖入吧？’

梁品伦则说：‘虽然如此，不过我个人还是喜欢DDoS攻击，那种把频宽塞满的饱足与充实感，实在是人生的一大快感啊！’

毕示古邪笑几声说：‘嘿嘿嘿，我们的任务是让他们服务不正常，但更重要的是牵制周宇成和蓝云飞的行动，还是用yelio与他们玩玩吧！’

目前天守所开发的yelio还是以Apache为主，IIS是后来Windows版新增的支援感染项目。利用IIS的Overflow漏洞，yelio被殖入了。

‘不好了！’宇成直觉道：‘IIS服务被侵入了木马，我得快速查出是什么东西！’

按照何智言先前所教，宇成输入tasklist/m/fi命令找出了一个名为iylo。dll以及yelio。dll这两个DLL档可能有问题，而云飞也有所发现。

云飞说：‘我输入tasklist/miylo。dll与tasklist/myelio。dll后发现它们都指向一个ect。exe，这个程式可能是它的根基所在！’

宇成问道：‘你有抓到ect。exe的位置吗？’

云飞说：‘它在system32目录下，同时用tasklist去看这个程式会发现它还另外用上了其他五个DLL档，而这些DLL档名似乎是被传进来的。’

简德昌此时说：‘你们猜的没有错！这些DLL档都是因为IIS的一个Overflow问题而被夹带进来的，我刚刚和秦天罡他们问了一下，yelio似乎是一种感染WEB伺服器软体后对特殊的URL编码产生一种识别命令的动作，感染后操作者可以利用浏览网页的方式直接在网址后面加上命令参数以指示木马动作。’

宇成怒道：‘可恶！简医生，让我来操作炎黄系统反攻回去吧？’

简德昌说：‘先别心急，你们就专心对付敌人，IP的事我来帮你们。要找到对方的真实IP，我们才可