被植入搜索劫持病毒的症状和处理方法 IIS挂马 IIS中毒

重要知识点：IIS被挂马表现的症状非常隐蔽，通常很久才被发现，往往是被监管部门先发现；

实际症状：输入网址进入网站看似没有任何问题（包括：收藏夹进入、QQ、微信链接等方式进入），都没有问题，唯独通过搜索引擎搜索进入时，第一次进入会自动跳到非法网站，从搜索引擎第二次点入则正常。

表象症状：虽然中毒很难被觉察，但还会有一丝蛛丝马迹，比如：打开网站的时候，第一次打开明显比之前慢了，第二次刷新就快了很多；这个症状不是很绝对，也有其他原因引起这个问题。

IIS被挂马后，经常有网管直到被公安网监部门通报批评时，才知道网站中毒了。

病毒原理：

这类问题百分之百是IIS发布的网站有漏洞，网站漏洞千奇百怪，这里不展开说了，本着各扫门前雪的原则，本文站在服务器运维人员角度处理这个故障。

1、网站有漏洞，服务器遭到攻击，黑客通过网站上传恶意代码到C盘windows的iis文件夹，替换或上传某个Dll文件。

2、黑客通过IIS的自定义模块功能，加载这个恶意DLL。

3、这个DLL的主要功能是：拦截IIS所有访问请求，从中筛选出来自搜索引擎的访问请求（百度、360、搜狗等等），一旦有这类请求进入，则从指定的URL（通常是境外网站）处下载一段Html代码发送给客户端。除此之外的其他请求，则照常输出你的网站代码。

这样的挂马方式会影响到IIS的所有站点，网站代码加固需要时间，立竿见影的解决方法，根据上面的流程来看，我们首先需要阻止恶意DLL去境外网站读取html，它读不到数据自然也就无法完成劫持。这时候你别想着去杀毒，恶意html不在你本地，你杀不到它； 恶意DLL模块从严格角度讲，这是一个功能而不是病毒，所以这个问题安全类软件基本没辙。

我提供了一张windows2019 server中的iis的默认模块清单，你对照你的iis模块，看看是否有多出来的，如果有（且不是你自己安装的），则表示已经中招。一般情况下把这个模块删除即可；

然后在Windows防火墙上加一条规则，进制服务器对外联网，这样即便服务器再次中这个木马，它也无法对外通信。请注意：禁止对外联网不只是80端口，木马可以通过任何端口对外通信，所以你要全部禁止。但这终管不是长久之计，这样虽然禁止了病毒，但你正常的对外通信也会被拦截，所以你要趁这个时候赶快排查中毒网站。

在windows的安全配置方面，应该对每个网站设置不同的匿名访问权限，即便网站中毒了也不能影响到windows系统安全。否则多个网站 用一个服务器的时候会令管理员非常疲于应付。

如果你还是搞不定，欢迎和我联系。