我们排查登录日志，我们在5月19号3点37分的时候，我们发现10.0.10.2，也就是 pass的希的攻击方式，成功登录了，谁？登录了1.50，又有另外一个对象来登录他了，用另外一个动向，等等说明这个是谁？也被控制了，那么接下来是不是也要对它进行一个上机排查？所以说我们上期排查和要排查东西对象还是蛮多的。

好的，那么在这一个日志里面，我们看到什么？这个是谁登的？这是什么？登录类型是什么？三是网络登录，怎么个网络登录法？是别人通过网络的方式来登录到你这里，所以会记录下来信息。那么也就是10.0.10.2是攻击者。对我们的10.50发起了内对内的一个攻击，通过PPI的方式进行一个成功登录。好，那么以上信息就是我们通过对什么？通过对设备的告警以及相关的排查思路和需求，我们对它进行了一系列检查和判断以后，得到了以上的11条的一个取证记录。

那么现在我们对现阶段的一个攻击路径进行还原。从这个设备上就是从我们的这一个完整的应急响应流程图上面，我们是可以看得到的，首先是在这里预控2来到10.50是不是？来到10.50以后，又接下来什么？然后4:53，然后又通过 approaching的方式分析了9.0.1，最后在7:15的时候，又通过这个方式Xpcmd shell提权的方式，又对这两个兄弟内部的家庭成员又发起了内对内的攻击。

好，这个就是我们对10.10.1.50的一个详细排查和取证的一个过程，那么往后他攻下了其他人对不对？那么我们肯定是吧，你看这个是不是要排查风险对象？这个时候排查分析对象，既然攻击了，那么它就有可能只是感染或者说是完全感染，就是已经我取得了完全控制的一个权限。那么我们接下来对这一些进行一个详细的分析和排查。好，那么接下来我们就来到了13.10的这台机子上，进行详细的分析和排查。