| (掛馬現(xiàn)象:非IIS映射修改,非ARP病毒,且源代碼里沒有iframe代碼的)今天訪問公司的一個(gè)網(wǎng)站,突然發(fā)現(xiàn)網(wǎng)頁顯示不對,右鍵查看HTML代碼,發(fā)現(xiàn)iframe了一個(gè)網(wǎng)站的js文件,不用說,肯定被掛馬了。 進(jìn)入服務(wù)器,看了下文件源代碼里并沒有這個(gè)iframe代碼,但整個(gè)服務(wù)器的所有網(wǎng)站訪問后代碼里都自動加了這個(gè)iframe代碼。 我第一反應(yīng)會不會是IIS映射被修改了啊,查看了下里面也沒什么被修改的 突然我想起以前大學(xué)的時(shí)候,學(xué)校網(wǎng)站也出現(xiàn)過這個(gè)問題,是當(dāng)時(shí)瘋狂的ARP病毒引起的,就是不是本機(jī)有病毒,網(wǎng)絡(luò)中有混雜模式的機(jī)子。于是我想建議裝一個(gè)ARP防火墻。網(wǎng)絡(luò)上搜了下,說也可能是IIS里WEB服務(wù)擴(kuò)展引起的,于是我又看了下,發(fā)現(xiàn)沒什么問題。 最后我突然發(fā)現(xiàn)一個(gè)地方,有異常,就是這里,讓我暫時(shí)解決了這個(gè)問題(可能系統(tǒng)中有DLL或EXE文件病毒了,還要系統(tǒng)殺毒才行,服務(wù)器不是我管,我也只能干著急了。) 如下圖: 啟動文檔頁腳,這里附加了一個(gè)htm文件,我用文本文檔打開c:\windows\system32\com\iis.htm,發(fā)現(xiàn)里面就是這個(gè) iframe的代碼,而且這個(gè)htm正常情況也是沒有的,于是我把起用文檔頁腳去掉,把這個(gè)htm文件刪了,問題就暫時(shí)解決了(因?yàn)榭赡芟到y(tǒng)還有病毒,所 以算暫時(shí)解決吧) 網(wǎng)上很多人說自己服務(wù)器中了ARP病毒攻擊,IIS尾巴之類的,如果都沒能解決,請注意看下起用文檔這個(gè)地方,希望對你有幫助。 以前也玩過一段時(shí)間馬,不過好久沒碰這些了,根據(jù)這個(gè)js文件,我找到了很多htm文件,都是病毒網(wǎng)站上的,我下載下來了,有空要好好分析分析,如果閑得慌,給他服務(wù)器掃描掃描,幫他服務(wù)器找找后門:) 剛剛看了下,原來做這種木馬只需要在C:\WINDOWS\system32\inetsrv\MetaBase.xml插入一段代碼就行了(C是系統(tǒng)盤),比如: AppFriendlyName="默認(rèn)應(yīng)用程序" AppIsolated="2" AppRoot="/LM/W3SVC/81120797/Root" AuthFlags="AuthAnonymous | AuthNTLM" DefaultDocFooter="FILE:C:\WINDOWS\system32\Com\aa.htm" 如上,在DefaultDocFooter="FILE:C:\WINDOWS\system32\Com\aa.htm"插入有木馬的htm文件就行了,沒什么難度,不過知道原理后,自己不要做破壞就行了。:)a |
免責(zé)聲明:本站部分文章和圖片均來自用戶投稿和網(wǎng)絡(luò)收集,旨在傳播知識,文章和圖片版權(quán)歸原作者及原出處所有,僅供學(xué)習(xí)與參考,請勿用于商業(yè)用途,如果損害了您的權(quán)利,請聯(lián)系我們及時(shí)修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域,為您提供最新最全的互聯(lián)網(wǎng)資訊,幫助站長轉(zhuǎn)型升級,為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營銷服務(wù),與站長一起進(jìn)步!讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨(dú)!
掃一掃,關(guān)注站長網(wǎng)微信
大家都在看
