最近在管理自己负责的一个服务器和网站时,发现网站有异常,具体情况如下:

       我们的服务器用的是阿里云的云服务器,最近阿里云老是通知我们你的网站有违规URL屏蔽处理通知,登录服务器查看,根本没

有通知中的文件夹和文件,一直处在蒙的状态中,给阿里云提工单,对方反馈你的网站中就是有相关的违规URL,请尽快处理;我自己访

问那些存在的网址的,网址状态是200,页面显示的是空白;

     我先是ping这个网站域名,发现域名的解析IP是对的,排查DNS劫持;

    然后扫描了网站中的 漏洞也没有发现任何的情况,网站服务器安装的安全狗和360也没有报任何异常,   

    查看网站的文件夹和相关账号都是正常的,登录日志也是正常的;排查网站访问日志,也没有阿里云报的这些违规的URL;

    

持续苦恼排查了N天,没有任何结果,阿里云依然持续报 你的网站有违规URL屏蔽处理通知,要疯了!!!!!!!

后来部门领导给我推荐了一个工具D盾,下载下来后扫描整个网站,发现了一个漏洞:

下载D盾(链接：https://pan.baidu.com/s/12-ckqC6g-VTTwvtXeagI2Q       提取码：y8b4)对着站点一把梭。

检测到一个一句话后门，访问路径：http://**********/Hot/back.aspx

经过IIS日志查询访问IP，均为香港IP和某存活检测蜘蛛，备份后门文件后删除。

但是删除了后门文件后,违规的URl依然可以返回200状态,怀疑是系统文件或者IIS相关文件被篡改,到这里基本确定是IIS上有程序

作了URL处理。

 从爱站网的SEO关键词发线挂马详情：从百度搜索进入，即可看到非法信息。

 

整个过程瞬间清晰了，这不就简单的url劫持么，判断来路、路径，再选择性返回**信息。常规套路。

 

看着朋友圈，回顾了整个过程：

1、使用百度蜘蛛UA访问带app关键字的的URL会被挂马

2、无挂马文件

到这里，基本确定是加载的dll扩展出了问题。

建立一个站点，指向IIS默认站点路径，修改百度UA后访问/appxxx验证，的确出现了卖菜信息。

点开啊D，进程查看，定位到web进程，w3wp.exe

加载了一个连公司信息和说明都有不起的dll。豁然开朗。

查：

查看IIS全局设置中isapi筛选器和模块设置，在模块功能下找到了真凶。

杀：

找到问题后，处理就比较简单，右键删除模块，然后在整个IIS站点配置本机模块功能下，选择刚才删除的模块名，删除、重启IIS即可。

访问app路径验证，终于出现了久违的找不到对象提示。

简单分析：

通过在测试服务器上加载dll并触发事件，抓包查看到如下流量：

在条件满足（路径带app字样且UA为蜘蛛）情况下，IIS进程会请求http://sc.xxxbt.com/xxx 路径，并返回请求到的内容。

到此，网站的URL恢复正常，挂马不复存在。

查杀后门，临时恢复业务，择日重新部署新系统并加固。

网站异常一定要从网站的服务上分析相关的漏洞,看看有没有不安全的服务在运行;