网际飞扬

还记得年少时的梦么,醒不过来 便信以为真……

主题背景
本网站首发版本创建于1999年4月
网际飞扬
手机网站二维码

请使用手机扫描二维码,登录网站手机版。

被植入搜索劫持病毒的症状和处理方法 IIS挂马 IIS中毒

  • 2023-02-04
  • 1097
  • 飞驰的心

重要知识点:IIS被挂马表现的症状非常隐蔽,通常很久才被发现,往往是被监管部门先发现;

实际症状:输入网址进入网站看似没有任何问题(包括:收藏夹进入、QQ、微信链接等方式进入),都没有问题,唯独通过搜索引擎搜索进入时,第一次进入会自动跳到非法网站,从搜索引擎第二次点入则正常。

表象症状:虽然中毒很难被觉察,但还会有一丝蛛丝马迹,比如:打开网站的时候,第一次打开明显比之前慢了,第二次刷新就快了很多;这个症状不是很绝对,也有其他原因引起这个问题。

IIS被挂马后,经常有网管直到被公安网监部门通报批评时,才知道网站中毒了。


病毒原理:

这类问题百分之百是IIS发布的网站有漏洞,网站漏洞千奇百怪,这里不展开说了,本着各扫门前雪的原则,本文站在服务器运维人员角度处理这个故障。

1、网站有漏洞,服务器遭到攻击,黑客通过网站上传恶意代码到C盘windows的iis文件夹,替换或上传某个Dll文件。

2、黑客通过IIS的自定义模块功能,加载这个恶意DLL。

3、这个DLL的主要功能是:拦截IIS所有访问请求,从中筛选出来自搜索引擎的访问请求(百度、360、搜狗等等),一旦有这类请求进入,则从指定的URL(通常是境外网站)处下载一段Html代码发送给客户端。除此之外的其他请求,则照常输出你的网站代码。


这样的挂马方式会影响到IIS的所有站点,网站代码加固需要时间,立竿见影的解决方法,根据上面的流程来看,我们首先需要阻止恶意DLL去境外网站读取html,它读不到数据自然也就无法完成劫持。这时候你别想着去杀毒,恶意html不在你本地,你杀不到它; 恶意DLL模块从严格角度讲,这是一个功能而不是病毒,所以这个问题安全类软件基本没辙。


我提供了一张windows2019 server中的iis的默认模块清单,你对照你的iis模块,看看是否有多出来的,如果有(且不是你自己安装的),则表示已经中招。一般情况下把这个模块删除即可;

然后在Windows防火墙上加一条规则,进制服务器对外联网,这样即便服务器再次中这个木马,它也无法对外通信。请注意:禁止对外联网不只是80端口,木马可以通过任何端口对外通信,所以你要全部禁止。但这终管不是长久之计,这样虽然禁止了病毒,但你正常的对外通信也会被拦截,所以你要趁这个时候赶快排查中毒网站。


在windows的安全配置方面,应该对每个网站设置不同的匿名访问权限,即便网站中毒了也不能影响到windows系统安全。否则多个网站 用一个服务器的时候会令管理员非常疲于应付。


如果你还是搞不定,欢迎和我联系。

本博客所有内容均为原创,原则上我不希望你转载。如特别喜欢而转载的话,请务必注明出处“网际飞扬 http://www.fayo.net” 否则本人闲来无事可能会把你误当成维权的靶子。

评论

验证码

全部评论

共{{commentCount}}条
  • {{i+1}}楼
    {{rs.Msg_Sender}}{{rs.Msg_Datetime}}

    {{rs.Msg_Content}}

播放器封面
  • 宠物精灵