查看對受害網站post的紀錄

過濾掉弱掃軟體的特徵 (form_data表示只看該Field的資料）

看到一堆內容包含帳密，有可能被帳密爆破

http_method=post NOT Acunetix |table _time, form_data

2016-08-10 14:45:21 ~ 2016-08-10 14:46:51.39 SrcIP 23.22.63.114 共412筆

2016-08-10 14:48:05 SrcIP 40.80.148.42 共1筆

查看是否有傳輸exe檔

發現可疑檔案
index="botsv1" sourcetype="stream:http" NOT Acunetix ".exe"

2016-08-10 21:52:47 SrcIP 40.80.148.42 "3791.exe" 共2筆

查看sysmon是否有exe紀錄
系統監視器( Sysmon ) 是一種 Windows 系統服務和設備驅動程序，一旦安裝在系統上，它就會在系統重新啟動後保持駐留，以監視系統活動並將其記錄到 Windows 事件日誌中。它提供有關進程創建、網絡連接和文件創建時間更改的詳細信息。

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" "3791.exe"

查看該程式已經被創建並進行網路連線了

ID 1: Process creation
ID 3: Network connection
ID 5: Process terminated
ID 7: Image loaded

EventCode=1 |table _time, cmdline, MD5

2016-08-10 14:56:18 host we1149srv cmd.exe /c "3791.exe 2>&1"
2016-08-10 14:56:18 host we1149srv ??\C:\Windows\system32\conhost.exe 0xffffffff
2016-08-10 14:56:18 host we1149srv 3791.exe AAE3F5A29935E6ABCC2C2754D12A9AF0