导读:公司服务器遭挂马,从搜索引擎访问会跳转至垃圾网站。起初以为是常规木马,检查全局文件无异常,但模拟蜘蛛访问仍存在问题。怀疑IIS被劫持,经排查配置文件及默认页面未发现线索,推测是隐蔽的IIS模块挂马。使用D盾查看w3wp.exe加载的DLL库,发现可疑的httpevt.dll,删除该模块后重启IIS,问题得以解决。
公司的服务器被挂马了,从搜索引擎访问会跳转到垃圾网站,一开始以为是简单的木马程序,此类的木马一般是在全局文件里写木马文件,判断是否从搜索引擎访问的,是就跳转到指定的地址,不是就正常打开。
公司的网站是.NET的所有第一反应就是用上能用的杀毒防护软件先给它扫一遍。然后检查global.aspx 等全局文件,
已经确定了没问题了 ,但是用工具模拟蜘蛛访问,还是一样,在网页头部插上了一大串的超链接,如下图:
思来想去,可能是IIS被全局挂马劫持了 。没办法,再一步步操作:
1.查看IIS的配置文件没有发现此类的地址。
2.查看默认的IIS 页面C:\Inetpub\wwwroot\iisstart.htm 没有发现可疑信息
到这里猜猜可能是更加隐蔽的IIS模块挂马。下载啊D软件(D盾),查看w3wp.exe 加载了哪些dll库,如下图:
发现有两个没有公司信息的DLL库一个是自己安装的软件这个没有问题,另一个就是上图中的httpevt.dll,由于能力有限没能反编译这个dll,只能到IIS 的的模块里先删除这个模块试试,如下图:
重启IIS ,再用工具模拟百度蜘蛛访问,发现解决了。
关键词: 网站 木马 IIS 挂马
苏公网安备 32111202000338号