下面是一些请求的数据包。好，再往后我们依然还是通过我们的监测设备上面去发现，在5月19号7:15:40的时候，攻击者使用root账号，成功的登录了其他服务器的数据库，这依然是一个什么？这是一个内对内的一个攻击。然后在这一个流量告警图上面，我放大一下，在这一个流量告警图上面，我们可以看到所有的攻击者都是1.50这个人，然后对谁发起攻击？分别对11.1发起了这个 My circle登陆的攻击，这是一个敏感的行为，并不能说是直接攻击，是个敏感的行为。

那么登录的这个敏感的行为，如果在我们实际工作的过程当中，如果是发现这种行为的话，我们第一时间是需要上报给客户的，尤其是在攻防演练的时间里面，一定要第一时间上报给客户，我们要去对客户进行询问。在7:16:15，这个时间段是否有我们的相关运维人员，或者说是有是否有我们的相关的其他人员，对10.182.11.1这一台买SQL服务器进行了登录，并且是用root的这个账号进行成功登录的。如果是有的话，那这边就是个误报，如果没有的话，我们要去考虑，那么是不是有可能已经被什么？已经被工具的控制了，但是我们还没有及时的察觉到，这个时候我们就要立刻去安排人进行上机排查，定位。

如果说在可以不影响到客户的业务的正常业务的情况下的话，我们是需要对这一台电脑，也就是1.50这台电脑进行隔离的。隔离的方式有特别多，那最直接简单粗暴的，就是把网线都拔了。攻击者就没办法了。好了，再随后1.50这个家伙，他还是发起这个内对内的攻击，我们1.50这一个他对多个内网服务器发起了SQL server的一个提权攻击，那么多个被提权的内网服务器有10.79.76.94以及10.79.56.130，那在这个上面我们都是可以看得到的。

这个不太清我给你放大，在这一个设备的构体上面，我们可以明显的去看到这是一个高危的行为，并且还是攻击成功了，看到没有？这些都是用红字直接给你标得很清楚了，我们的设备都是非常的智能化的，换句话来说简单的学习一下就可以使用了。那么10.10.1.50，对76.94，对56094连接了这个 Sql server，也就是我们所谓的MS circle，并且执行了XP的一个命令。那么XPshell对于我们来说它是一个提权的攻击，也就是可以把一个普通的用户提升到一个更高的权限，管理员的用户。下面就是它的相关数据，那这个攻击是比较敏感的，而且还成功了。那么基本上是完全可以去断定1.50是绝对沦陷了。