最新消息:

windows server 2012 iis被劫持的处理过程

vps 云 admin_ad 453浏览 0评论

需要用到的工具filemon下载地址:FileMon for Windows v7.04

上周五晚接到有客户反应,网站打开很慢,而且百度搜索有很多博彩信息,打开依然能打开。第一反应就是网站被挂马了。网站从百度快照打开时程序一定加了来源判断转到了博彩网站。

于是通过下载服务器安全狗及WebShellKiller工具检测,然后人工检查js及相关动态文件都没有找到木马的踪影。怀疑是iis自身的问题。

于是再次分析从百度快照打开的网页,发现在服务器的网站文件夹里很多都是不存在的,如果不从百度快照打开,直接输入网址打开是404错误。证明这个目录在服务器的网站文件夹中是不存在的,也没有虚拟目录。

 

通过百度站长工具,服务器上的所有网站通过抓取诊断工具分析都加了一段代码:

技术图片

 

哪就证明不是单个网站的问题,于是把所有网站关闭,搭建了一个测试环境

 

技术图片

网站目录文件

技术图片

header上加了 referer:https://www.baidu.com

技术图片

header分析【为了说明引用了另一个网站的header】

 

 

技术图片

技术图片

 

直接访问网址显示404错误

 

怀疑可能是iis加载了非法模块,为了快速恢复,于是计划重新安装iis再测试下。、

 

iis备份站点(不会备份源文件)

 

技术图片

appcmd命令 位置:C:WindowsSystem32inetsrv

技术图片

备份命令:appcmd.exe add backup backupname(备份名称)

技术图片

备份文件地址(可将此文件拷贝到其它地方)

列出备份:

appcmd.exe list backup

恢复备份

在恢复一个备份时,IIS停止运行,并且重写服务器的状态。一旦配置文件被重写,IIS随即重新启动。如果不希望IIS停止运行并重新启动,那么可以是使用/stop:false。这样,就可以在合适的时间手动停止IIS运行,并手动重新启动IIS

appcmd.exe restore backup  /back.name:”XXX” /stop:false

appcmd.exe  restore backup /backup.name:”XXX”

删除备份

appcmd.exe relete backup  XXX

备份好后,删除以下文件夹:(删除iis时不会自动删除,需要手动删除,删除时最好备份一下)

C:WindowsSystem32inetsrv
C:WindowsSysWOW64inetsrv
C:inetpub

 

删除IIS请参考:https://jingyan.baidu.com/article/bad08e1e85e98009c951216e.html

删除后然后按照删除去掉的windows功能重新再添加上。添加上后,测试默认网站的请求,并没有问题,哪就说明iis没有问题

于是通过appcmd命令恢复iis的备份再测试的时候,网站又重新出现了百度快照劫持的问题,这就怀疑可能是网站配置方面可能哪个地方出现了问题,通过百度查找,最后找个一个监控服务器进程的工具 filemon,

这个工具可以监控指定进程处理事件过程

技术图片

下载后,filter( ctrl L 快捷方式))设置只显示w3wp.exe进程

 

技术图片

路径(Path)设置包括(contains) hot2019路径名,然后点击添加(Add) 点击下面的OK 即可

技术图片

经过请求分析,tests.szqj.com在向服务端发送请求时,同时服务端向同一个Ip地址 发送了请求,猜测是通过这个请求返回了菠菜信息数据,于是通过防火墙的屏蔽功能,屏蔽了这个IP,然后再通过来源为百度测试没有了数据。接下来就是分析这个w3wp.exe是怎样请求到这个IP数据的问题了,正在查找中,未完待续。

转载请注明:VPS驿站 » windows server 2012 iis被劫持的处理过程

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址