记录一次winserverIIS劫持处理操作过程

时间:2024-04-13 21:21:11

最近在管理自己负责的一个服务器和网站时,发现网站有异常,具体情况如下:

       我们的服务器用的是阿里云的云服务器,最近阿里云老是通知我们你的网站有违规URL屏蔽处理通知,登录服务器查看,根本没

有通知中的文件夹和文件,一直处在蒙的状态中,给阿里云提工单,对方反馈你的网站中就是有相关的违规URL,请尽快处理;我自己访

问那些存在的网址的,网址状态是200,页面显示的是空白;

     我先是ping这个网站域名,发现域名的解析IP是对的,排查DNS劫持;

    然后扫描了网站中的 漏洞也没有发现任何的情况,网站服务器安装的安全狗和360也没有报任何异常,   

    查看网站的文件夹和相关账号都是正常的,登录日志也是正常的;排查网站访问日志,也没有阿里云报的这些违规的URL;

    记录一次winserver2019IIS劫持处理操作过程

持续苦恼排查了N天,没有任何结果,阿里云依然持续报 你的网站有违规URL屏蔽处理通知,要疯了!!!!!!!

后来部门领导给我推荐了一个工具D盾,下载下来后扫描整个网站,发现了一个漏洞:

下载D盾(链接:https://pan.baidu.com/s/12-ckqC6g-VTTwvtXeagI2Q       提取码:y8b4)对着站点一把梭。

检测到一个一句话后门,访问路径:http://**********/Hot/back.aspx

经过IIS日志查询访问IP,均为香港IP和某存活检测蜘蛛,备份后门文件后删除。

但是删除了后门文件后,违规的URl依然可以返回200状态,怀疑是系统文件或者IIS相关文件被篡改,到这里基本确定是IIS上有程序

作了URL处理。

 从爱站网的SEO关键词发线挂马详情:从百度搜索进入,即可看到非法信息。

 

整个过程瞬间清晰了,这不就简单的url劫持么,判断来路、路径,再选择性返回**信息。常规套路。

记录一次winserver2019IIS劫持处理操作过程

 

看着朋友圈,回顾了整个过程:

1、使用百度蜘蛛UA访问带app关键字的的URL会被挂马

2、无挂马文件

到这里,基本确定是加载的dll扩展出了问题。

建立一个站点,指向IIS默认站点路径,修改百度UA后访问/appxxx验证,的确出现了卖菜信息。

记录一次winserver2019IIS劫持处理操作过程

记录一次winserver2019IIS劫持处理操作过程

点开啊D,进程查看,定位到web进程,w3wp.exe

记录一次winserver2019IIS劫持处理操作过程加载了一个连公司信息和说明都有不起的dll。豁然开朗。

查:

查看IIS全局设置中isapi筛选器和模块设置,在模块功能下找到了真凶。

记录一次winserver2019IIS劫持处理操作过程

记录一次winserver2019IIS劫持处理操作过程杀:

找到问题后,处理就比较简单,右键删除模块,然后在整个IIS站点配置本机模块功能下,选择刚才删除的模块名,删除、重启IIS即可。

记录一次winserver2019IIS劫持处理操作过程

访问app路径验证,终于出现了久违的找不到对象提示。

记录一次winserver2019IIS劫持处理操作过程

简单分析:

通过在测试服务器上加载dll并触发事件,抓包查看到如下流量:

记录一次winserver2019IIS劫持处理操作过程

在条件满足(路径带app字样且UA为蜘蛛)情况下,IIS进程会请求http://sc.xxxbt.com/xxx 路径,并返回请求到的内容。

记录一次winserver2019IIS劫持处理操作过程

到此,网站的URL恢复正常,挂马不复存在。

查杀后门,临时恢复业务,择日重新部署新系统并加固。

网站异常一定要从网站的服务上分析相关的漏洞,看看有没有不安全的服务在运行;