| (掛馬現象:非IIS映射修改,非ARP病毒,且源代碼里沒有iframe代碼的)今天訪問公司的一個網站,突然發現網頁顯示不對,右鍵查看HTML代碼,發現iframe了一個網站的js文件,不用說,肯定被掛馬了。 進入服務器,看了下文件源代碼里并沒有這個iframe代碼,但整個服務器的所有網站訪問后代碼里都自動加了這個iframe代碼。 我第一反應會不會是IIS映射被修改了啊,查看了下里面也沒什么被修改的 突然我想起以前大學的時候,學校網站也出現過這個問題,是當時瘋狂的ARP病毒引起的,就是不是本機有病毒,網絡中有混雜模式的機子。于是我想建議裝一個ARP防火墻。網絡上搜了下,說也可能是IIS里WEB服務擴展引起的,于是我又看了下,發現沒什么問題。 最后我突然發現一個地方,有異常,就是這里,讓我暫時解決了這個問題(可能系統中有DLL或EXE文件病毒了,還要系統殺毒才行,服務器不是我管,我也只能干著急了。) 如下圖: 啟動文檔頁腳,這里附加了一個htm文件,我用文本文檔打開c:\windows\system32\com\iis.htm,發現里面就是這個 iframe的代碼,而且這個htm正常情況也是沒有的,于是我把起用文檔頁腳去掉,把這個htm文件刪了,問題就暫時解決了(因為可能系統還有病毒,所 以算暫時解決吧) 網上很多人說自己服務器中了ARP病毒攻擊,IIS尾巴之類的,如果都沒能解決,請注意看下起用文檔這個地方,希望對你有幫助。 以前也玩過一段時間馬,不過好久沒碰這些了,根據這個js文件,我找到了很多htm文件,都是病毒網站上的,我下載下來了,有空要好好分析分析,如果閑得慌,給他服務器掃描掃描,幫他服務器找找后門:) 剛剛看了下,原來做這種木馬只需要在C:\WINDOWS\system32\inetsrv\MetaBase.xml插入一段代碼就行了(C是系統盤),比如: AppFriendlyName="默認應用程序" AppIsolated="2" AppRoot="/LM/W3SVC/81120797/Root" AuthFlags="AuthAnonymous | AuthNTLM" DefaultDocFooter="FILE:C:\WINDOWS\system32\Com\aa.htm" 如上,在DefaultDocFooter="FILE:C:\WINDOWS\system32\Com\aa.htm"插入有木馬的htm文件就行了,沒什么難度,不過知道原理后,自己不要做破壞就行了。:)a |
免責聲明:本站部分文章和圖片均來自用戶投稿和網絡收集,旨在傳播知識,文章和圖片版權歸原作者及原出處所有,僅供學習與參考,請勿用于商業用途,如果損害了您的權利,請聯系我們及時修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長、創業、互聯網等領域,為您提供最新最全的互聯網資訊,幫助站長轉型升級,為互聯網創業者提供更加優質的創業信息和品牌營銷服務,與站長一起進步!讓互聯網創業者不再孤獨!
掃一掃,關注站長網微信
大家都在看
