网站建设、公众号开发、微网站、微商城、小程序就找牛创网络 !

7*24小时服务专线: 152-150-65-006 023-68263070 扫描二维码加我微信 在线QQ

网络安全工具团结互助,让我们共同进步!

当前位置:主页 > 技术资讯 > 工具 > 网络安全工具 >

我们的优势: 10年相关行业经验,专业设计师量身定制 设计师一对一服务模式,上百家客户案例! 企业保证,正规流程,正规合作 7*24小时在线服务,售后无忧

网站遭到黑客入侵和篡改,导致Web界面异常,远程处理记一次IIS劫持处置

文章来源:牛创网络 发布时间:2019-12-18 09:29:59 围观次数:
分享到:

摘要:网页篡改和服务器入侵事件已经处理了好几年, 第一个反应是服务器被提升,后门受到攻击以及CPU和内存等资源被占用,从而使站点无法正常工作。

另一方的管理员登录到服务器后,电视已连接到管理员的计算机,系统为2008R2,并且IIS7.5用作Web服务。


  下载D Shield(http://d99net.net/down/d_safe_2.1.5.4.zip)并转至该站点。


  检测到一句后门。 访问路径为:http://service.xxx.com/js/post.aspx。


  IIS日志查询访问IP是香港IP和生存检测蜘蛛,在备份后门文件后将其删除。


  检查该帐户,克隆来宾,并在备份注册表sam密钥后手动删除该来宾帐户密钥。


  查看通常用于特权升级的C:\ Windows \ temp,C:\ Windows \ debug目录,没有用于特权升级的任何熟悉的脚本和文件

查看目录权限和IIS权限,Web目录中的每个人都有完全控制权,并且IIS程序池被标识为管理员帐户!


奇怪事件1.发现入侵后,WEB界面已损坏


  删除Webshell和克隆帐户后,我去了D进行临时保护,并且我正在准备让管理员更改密码并以静默方式杀死病毒。 我下线睡觉了。 告诉网站API接口无法访问。 访问界面的地址为:http://service.mosaic.com/app/xxx.ashx


  检查Web目录中是否存在app目录,并且文件是否存在。 当您访问它时,它提示404无法找到该对象。

blob.png

在app文件夹中创建一个新的txt文件,对其进行访问,然后继续查找该对象。 再次具有侵略性。


  通常,IIS会为asp,php,aspx,ashx等设置处理程序映射。如下所示,

blob.png

静态文件(例如html,txt,css)默认情况下无需指定可执行文件进行处理。


  静态文件也找不到对象! 第一个反应是篡改了网站的根目录web.config,并重写了应用程序路径的URL。  (.net的URL重写类似于J ** A的URL路由,可以由站点的bin目录中的dll直接处理)


  打开web.config,查看是否有伪静态规则将请求转发到app目录下的程序进行处理,但未对/ app / xxx之类的路径进行任何设置。


奇怪的事件II,Windows下的IIS区分大小写!


  访问期间切换输入法,大写锁定,发生了奇迹。 可以正常请求路径http://xxx.mosaic.com/APP/xxx.ashx。 对于简单的测试,可以访问aPp,aPP和App。 至此,基本上可以确定IIS上有一个可以进行URL处理的程序。

管理员发送了上吊马的详细信息:从百度搜索进入,您可以看到非法信息。


  整个过程立即变得清晰起来。 这不是简单的URL劫持,判断源和路径,然后有选择地返回菠菜信息。 常规程序。

奇怪的事件3。找不到跳转文件。


  根据以前的经验,检查global.asax,逐行观看2分钟,没有问题,然后打开web.config并观看2分钟,没有问题。


  C:\ Windows \ System32 \ inetsrv \ config目录(IIS7的站点配置存储在此处),搜索应用程序关键字,没有问题。

审查了整个过程:


  1.使用百度蜘蛛UA访问带有应用程序关键字的URL会被挂起


  2.无挂马文件

  至此,基本上可以确定所加载的dll扩展存在问题。


  设置站点,指向IIS默认站点路径,修改百度UA,然后访问/ appxxx以验证是否出现了有关出售蔬菜的信息。

blob.png

blob.png

在进程视图中,找到Web进程w3wp.exe

blob.png

加载了带有公司信息和描述的出色dll。 豁然开朗。


  校验:


  检查IIS全局设置中的isapi筛选器和模块设置,并在模块功能下找到真正的凶手。

blob.png

blob.png

发现问题后,处理相对简单。 右键单击以删除该模块,然后在“配置本地模块功能”下,选择刚删除的模块名称,然后删除并重新启动IIS。

blob.png

访问应用程序路径验证,最后出现找不到长时间丢失的对象的提示。

blob.png

通过将dll加载到测试服务器上并触发事件,可以按以下方式查看数据包捕获:

blob.png

满足条件时(路径中带有单词app且UA是蜘蛛),IIS进程将请求http://sc.xxxbt.com/xxx路径并返回所请求的内容。

此时,应用程序界面已恢复正常,并且不再存在悬而未决的问题。


  其余的由管理员检查并杀死,业务暂时恢复,新系统在另一天重新部署和加固。


本文由 牛创网络 整理发布,转载请保留出处,内容部分来自于互联网,如有侵权请联系我们删除。

相关热词搜索:网站遭到黑客入侵和篡改 Web界面异常 远程处理 IIS劫持处置

上一篇:Python应用程序Attack Monitor:一款强大的终端检测和自动恶意软件动态分析软件
下一篇:DNSExfiltrator:基于DNS的数据泄露测试工具

热门资讯


  • 高端定制,专业设计

  • 7*24小时保证数据安全

  • 跨平台,多终端,全网优化,提升排名

  • 一站式服务模式,售后无优

关于我们

重庆牛创网络科技有限责任公司是一群技术强大、思维活跃、拥有创新精神的年轻人创立,公司致力于为企业提供全面、周到、专业的互联网解决方案,提供网站建设、网络推广、网络安全审计、wifi营销认证、网站运营维护、域名注册、虚拟主机、企业邮局、企业形象设计等多种信息产品和服务。

联系我们

公司电话: 023—68263070
办公地址:重庆市北碚区金华路399号
邮箱:120481297@qq.com
技术咨询:15215065006

“互联网+”方案

Copyright 2003-2019 www.023niu.com All Rights Reserved. 本站程序界面、源代码受相关法律保护,未经授权,严禁使用 |重庆牛创网络科技有限公司 | 网站地图

备案图标 渝ICP备19004889号-1 渝公网安备 50010902000896号

行业安全认证 行业安全认证 行业安全认证

鼠标向下滚动