公司的服务器被挂马了,从搜索引擎访问会跳转到垃圾网站,一开始以为是简单的木马程序,此类的木马一般是在全局文件里写木马文件,判断是否从搜索引擎访问的,是就跳转到指定的地址,不是就正常打开。
公司的网站是.NET的所有第一反应就是用上能用的杀毒防护软件先给它扫一遍。然后检查global.aspx 等全局文件,
已经确定了没问题了 ,但是用工具模拟蜘蛛访问,还是一样,在网页头部插上了一大串的超链接,如下图:
思来想去,可能是IIS被全局挂马劫持了 。没办法,再一步步操作:
1.查看IIS的配置文件没有发现此类的地址。
2.查看默认的IIS 页面C:\Inetpub\wwwroot\iisstart.htm 没有发现可疑信息
到这里猜猜可能是更加隐蔽的IIS模块挂马。下载啊D软件(D盾),查看w3wp.exe 加载了哪些dll库,如下图:
发现有两个没有公司信息的DLL库一个是自己安装的软件这个没有问题,另一个就是上图中的httpevt.dll,由于能力有限没能反编译这个dll,只能到IIS 的的模块里先删除这个模块试试,如下图:
重启IIS ,再用工具模拟百度蜘蛛访问,发现解决了。
RoveCoder版权所有,转载请注明