被植入搜索劫持病毒的症状和处理方法 IIS挂马 IIS中毒
- 2023-02-04
- 1215
- 飞驰的心
重要知识点:IIS被挂马表现的症状非常隐蔽,通常很久才被发现,往往是被监管部门先发现;
实际症状:输入网址进入网站看似没有任何问题(包括:收藏夹进入、QQ、微信链接等方式进入),都没有问题,唯独通过搜索引擎搜索进入时,第一次进入会自动跳到非法网站,从搜索引擎第二次点入则正常。
表象症状:虽然中毒很难被觉察,但还会有一丝蛛丝马迹,比如:打开网站的时候,第一次打开明显比之前慢了,第二次刷新就快了很多;这个症状不是很绝对,也有其他原因引起这个问题。
IIS被挂马后,经常有网管直到被公安网监部门通报批评时,才知道网站中毒了。
病毒原理:
这类问题百分之百是IIS发布的网站有漏洞,网站漏洞千奇百怪,这里不展开说了,本着各扫门前雪的原则,本文站在服务器运维人员角度处理这个故障。
1、网站有漏洞,服务器遭到攻击,黑客通过网站上传恶意代码到C盘windows的iis文件夹,替换或上传某个Dll文件。
2、黑客通过IIS的自定义模块功能,加载这个恶意DLL。
3、这个DLL的主要功能是:拦截IIS所有访问请求,从中筛选出来自搜索引擎的访问请求(百度、360、搜狗等等),一旦有这类请求进入,则从指定的URL(通常是境外网站)处下载一段Html代码发送给客户端。除此之外的其他请求,则照常输出你的网站代码。
这样的挂马方式会影响到IIS的所有站点,网站代码加固需要时间,立竿见影的解决方法,根据上面的流程来看,我们首先需要阻止恶意DLL去境外网站读取html,它读不到数据自然也就无法完成劫持。这时候你别想着去杀毒,恶意html不在你本地,你杀不到它; 恶意DLL模块从严格角度讲,这是一个功能而不是病毒,所以这个问题安全类软件基本没辙。
我提供了一张windows2019 server中的iis的默认模块清单,你对照你的iis模块,看看是否有多出来的,如果有(且不是你自己安装的),则表示已经中招。一般情况下把这个模块删除即可;
然后在Windows防火墙上加一条规则,进制服务器对外联网,这样即便服务器再次中这个木马,它也无法对外通信。请注意:禁止对外联网不只是80端口,木马可以通过任何端口对外通信,所以你要全部禁止。但这终管不是长久之计,这样虽然禁止了病毒,但你正常的对外通信也会被拦截,所以你要趁这个时候赶快排查中毒网站。
在windows的安全配置方面,应该对每个网站设置不同的匿名访问权限,即便网站中毒了也不能影响到windows系统安全。否则多个网站 用一个服务器的时候会令管理员非常疲于应付。
如果你还是搞不定,欢迎和我联系。
评论
全部评论
共{{commentCount}}条{{rs.Msg_Content}}